Решена Удаление winserv.exe, realtekHD.exe, taskhostW.exe

[darksinius]

Добрый день, подхватил вирусню, пытался через avr вылечить, утилита удаляет учетку John, но после перезагрузки выполняется скрипт в командной строке и в powershell и данные Exe в диспетчере задач повторно появляются. Сайты с антивирусами не открываются. Если открыть папку C:\programm data\ то закрывается автоматом она, диспетчер задач закрывается. Даже данную тему пришлось с другого ПК создавать, так как при открытии сайта браузер закрывается сразу.

 

[darksinius]

AutoLogger-ом не получается сделать логи, закрывается сразу же утилита.

 

[thyrex]

В безопасном режиме запустите

 

[darksinius]

Прикрепил логи

 

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\MapData\FvMhW45hz5hT6Ix\CheckGlobalU.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalU\FvMhW45hz5hT6Ix');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalU\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalU\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

[darksinius]

Готово, прикрепил

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[darksinius]

Прикрепил

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-2529983459-2602990212-168582025-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-2529983459-2602990212-168582025-1001\...\Run: [Joxi] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {04703e00-d125-41fb-9fbd-6dda36694194} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {a7d11768-9159-4571-a414-ce24aa9e0d83} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {c7b735f6-8541-4ae0-91fc-a4e314a73387} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {4B1CD903-E01F-4BDB-8AAD-C6AA15819C12} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2529983459-2602990212-168582025-1001 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {738DAA0D-C66E-45B2-9380-2D1F51B4DAA6} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2529983459-2602990212-168582025-1001 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {60D538DB-334F-4FF6-A0BA-DE195FA727D2} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2529983459-2602990212-168582025-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {7F0AD1C7-1D3E-4FA6-A8A1-C50726710E84} - System32\Tasks\Update for Yandex Telemost => C:\Users\infer\AppData\Roaming\Yandex\YandexTelemost\1.0.40.1240\YandexTelemost.exe  --background-update (Нет файла)
Task: {379CE4E3-047E-4D40-88F2-9F6F1BFE3258} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.1.3.848\service_update.exe  --repair (Нет файла)
ProxyServer: [S-1-5-21-2529983459-2602990212-168582025-1001] => 188.246.239.42:5678
S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X]
2023-08-20 21:13 - 2023-08-20 21:13 - 000000000 __SHD C:\Users\infer\AppData\Roaming\Sysfiles
2023-08-20 21:13 - 2023-08-20 21:13 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-20 21:13 - 2023-08-20 21:13 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-20 21:13 - 2023-08-20 21:13 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-20 21:13 - 2023-08-20 21:13 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
2023-08-20 21:12 - 2023-08-20 21:12 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\infer\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\infer\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\infer\AppData\Local\Microsoft:ISBD [32]
FirewallRules: [TCP Query User{976BC9AD-3D35-4E4D-8673-4778051846A1}C:3\avengers.exe] => (Allow) C:3\avengers.exe => Нет файла
FirewallRules: [UDP Query User{2DD9923A-9E19-4ACB-97F0-9431BA0597BC}C:3\avengers.exe] => (Allow) C:3\avengers.exe => Нет файла
FirewallRules: [{DFD9EF7B-2A97-4518-9879-C939EA022E15}] => (Block) C:3\avengers.exe => Нет файла
FirewallRules: [{096E6148-B678-4640-969A-324ED5C59D81}] => (Block) C:3\avengers.exe => Нет файла
FirewallRules: [{E031A4A0-132C-4E19-AF9F-17213C32B0DE}] => (Allow) D:\backup\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{022ADA3A-4A6F-47AB-A84A-EC8E7DAF8C41}] => (Allow) D:\backup\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [TCP Query User{84B55EEA-169C-4920-B64B-948D5BA8E1F6}E:\games\baldurs gate 3\bin\bg3.exe] => (Allow) E:\games\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [UDP Query User{9B8C7D29-A433-4BF4-B923-F0A1BA272D00}E:\games\baldurs gate 3\bin\bg3.exe] => (Allow) E:\games\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [{895065A3-FD04-4631-8118-79FA4E09878E}] => (Block) E:\games\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [{56C2A93C-F05C-42CD-87A0-31A270600018}] => (Block) E:\games\baldurs gate 3\bin\bg3.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[darksinius]

Здравствуйте, прикрепил.

 

[thyrex]

Папку C:\ProgramData\Microsoft\MapData\FvMhW45hz5hT6Ix удалите вручную.

Проблема решена?

 

[darksinius]

Да, спасибо, проблема решена.

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.