Решена Удаление майнера RealtekHD и его последствия

[shuringenes]

Здравствуйте в общем такая проблема, у меня был майнер RealtekHD, каким то чудом я удалил его, но что-то всё ровно осталось на компе и не даёт открыть папку ProgramData, хотелось бы найти все вирусы на ноутбуке и устранить их.

 

[akok]

Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

 

[shuringenes]

Хорошо, я завтра скачаю всё скину, и кстати Майнер блокирует ваш сайт, но я успел быстро скачать AV block

 

[akok]

майнер много чего блокирует.

 

[shuringenes]

Где сохраняется log?

 

[shuringenes]

вот если я правильно все понял

 

[akok]

Все правильно, продолжаем
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[shuringenes]

вот

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {310DDF57-512D-4F30-B6C4-A75AA57F2C29} - System32\Tasks\Microsoft\Windows\WindowsBackup\FilesBackUP => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {744F5594-8874-4356-96AC-9364573311E7} - System32\Tasks\Microsoft\Windows\MasterDataH\RecoveryHosts => C:\Programdata\Microsoft\izvjd\script.bat (Нет файла) <==== ВНИМАНИЕ
  Task: {CBD03FB8-FBCB-4A09-AF6F-E7A2CFB31155} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {E1F2869A-8645-4143-9B1A-0C2DB5121F5A} - System32\Tasks\Microsoft\Windows\WindowsBackup\CreedMobe => C:\Windows\SysWOW64\unsecapp.exe (Нет файла)
  Task: {E532CF93-FE0A-40E8-BF77-4C49BCC2536A} - System32\Tasks\Microsoft\Windows\WindowsBackup\SystemManager => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {E8F1A34A-9CAD-4CBA-B306-368E1141DFC5} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  2023-05-15 23:24 - 2023-05-15 23:24 - 000000000 __SHD C:\Users\shuringenes\Desktop\AV_block_remover
  2023-05-15 23:24 - 2023-05-15 23:24 - 000000000 __SHD C:\Users\shuringenes\Desktop\AutoLogger
  AlternateDataStreams: C:\ProgramData\db.ini:477630FF15 [3434]
  AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2022.lnk:F7B133A22A [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3434]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Softube Central.lnk:A2201720C4 [3434]
  BHO-x32: Нет имени -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Подготовьте лог лог SecurityCheck by glax24

 

[shuringenes]

вот

 

[akok]

Что с проблемой? Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.38.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160 Внимание! Скачать обновления
Microsoft Office 2010 shareware v.shareware Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Wireshark 3.6.8 64-bit v.3.6.8 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления

 

[shuringenes]

все проблемы ушли можете закрывать.

 

[shuringenes]

спасибо большое за помощь

 

[akok]

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки.


Удачи.