Закрыто вирус audiodg.exe runtime broker
- Автор темы makpupsik
- Дата начала
- Статус
- Сообщения
- 25,320
- Решения
- 6
- Реакции
- 13,842
Правила оформления запроса о помощи - не запускается?
avbr говорит что нет прав,Security Task Manager закрывается при открытии
- Сообщения
- 25,320
- Решения
- 6
- Реакции
- 13,842
Распакуйте в подпапку утилиту, тогда запустится без ошибок. Лог AVBR не забудьте добавить.
- Сообщения
- 25,320
- Решения
- 6
- Реакции
- 13,842
1. Не создали подпапку, в папке загрузки предусмотрен блок запуска. (нельзя запускать и на рабочем столе без подпапки)
2. Файл нужно переименовать, во что-то нейтральное (например qwerty.exe)
Тогда запуститься и удалит майнер. После нужно будет подготовить свежий комплект логов, чтоб погонять остатки майнера.
2. Файл нужно переименовать, во что-то нейтральное (например qwerty.exe)
Тогда запуститься и удалит майнер. После нужно будет подготовить свежий комплект логов, чтоб погонять остатки майнера.
переименовал и запустилось всё
- Сообщения
- 25,320
- Решения
- 6
- Реакции
- 13,842
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Green Goose\AppData\Local\Programs\ivanovsasha224\9fca8b6a76.msi', '');
QuarantineFile('C:\Windows\dllhost.exe', '');
DeleteFile('C:\Windows\dllhost.exe', '64');
DeleteService('WindowsService');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - ActiveSetup: HKLM\..\{9459C573-B17A-45AE-9F64-1857B5D58CEE}: [StubPath] = "C:\Program Files (x86)\Microsoft\Edge\Application\92.0.902.67\Installer\setup.exe" --configure-user-settings --verbose-logging --system-level (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 25,320
- Решения
- 6
- Реакции
- 13,842
PostClear\_PostClear.bat - знакомо?
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {F42F6D18-C1CE-403F-B160-3336016A92D2} - System32\Tasks\AdLock Update Task-S-1-5-21-1576359153-2785345893-481309463-1001 => C:\Windows\System32\msiexec.exe [103936 2022-11-05] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Green Goose\AppData\Local\Programs\ivanovsasha224\9fca8b6a76.msi" /quiet CHROME=1 C:\Users\Green Goose\AppData\Local\Programs\ivanovsasha224\9fca8b6a76.msi Task: {8047CE9D-C6C5-4BB4-A2D7-A3A6E5F9C562} - System32\Tasks\Driver Booster SkipUAC (Green Goose) => "C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe" /skipuac (Нет файла) Task: {DB197D40-3A28-47DB-85BF-C1180895481C} - System32\Tasks\Driver Booster Update => "C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe" /auto (Нет файла) Task: {E58A60C3-83EE-4DF1-8A0A-BD243F840454} - System32\Tasks\Opera scheduled Autoupdate 1673368042 => C:\Users\Green Goose\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла) AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\SoftEther VPN Client Manager.lnk:5148F90048 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3442] FirewallRules: [{26C5BC52-AD9E-4DC6-BEEE-70991072A2FF}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла FirewallRules: [{92D81E50-4C80-4B92-86C6-BF96651F07B0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла FirewallRules: [{79066BE7-84B4-4AD1-9954-18A7A3ADA22E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла FirewallRules: [{056F9177-19F5-4FE0-AA45-A6205F39B379}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла FirewallRules: [{C29F9C02-EA94-445D-A3BF-BB441DE12B3E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла FirewallRules: [{32A78A1E-F6D1-4046-8F9A-7C658B5A4093}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла FirewallRules: [{E0E267EA-39B4-469F-9B95-EDF681166FBC}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла FirewallRules: [{864B1E40-3EF5-4D14-B5E3-2D39E0F37EEA}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe => Нет файла FirewallRules: [{6EB20779-83DE-4370-99B5-6B145D89B95F}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла FirewallRules: [{E8888C9E-1192-41CA-BE33-FC134199EF1E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe => Нет файла FirewallRules: [{83701F59-AC91-46C6-9FC6-1B64E9910251}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла FirewallRules: [{C6C744F8-5C26-49C9-BBC5-2C2C54762FC6}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe => Нет файла FirewallRules: [TCP Query User{42D20748-E01F-407F-B03E-1F080C782D67}D:\sunset overdrive\sunset.exe] => (Allow) D:\sunset overdrive\sunset.exe => Нет файла FirewallRules: [UDP Query User{21141BC1-08A5-44D3-A27E-B8B8FEB82549}D:\sunset overdrive\sunset.exe] => (Allow) D:\sunset overdrive\sunset.exe => Нет файла FirewallRules: [TCP Query User{0BEF1E94-8FD5-4E57-A81A-EE47645E5A4C}D:\games\sunset overdrive\sunset.exe] => (Allow) D:\games\sunset overdrive\sunset.exe => Нет файла FirewallRules: [UDP Query User{62CDE360-9BD0-4A9A-A60D-42A6798E972F}D:\games\sunset overdrive\sunset.exe] => (Allow) D:\games\sunset overdrive\sunset.exe => Нет файла FirewallRules: [TCP Query User{F5EC4DD0-4768-49F6-A329-38090EFD2E1B}D:\games\doom\doomx64.exe] => (Allow) D:\games\doom\doomx64.exe => Нет файла FirewallRules: [UDP Query User{FA8D12DC-44E4-44CD-A61C-F7719581387D}D:\games\doom\doomx64.exe] => (Allow) D:\games\doom\doomx64.exe => Нет файла FirewallRules: [TCP Query User{7CC0230A-94D8-47D2-BF56-9539EC570B0F}D:\games\dying light\dyinglightgame.exe] => (Allow) D:\games\dying light\dyinglightgame.exe => Нет файла FirewallRules: [UDP Query User{1B68FF26-A6DC-48A0-96E2-F03B13CCC2EA}D:\games\dying light\dyinglightgame.exe] => (Allow) D:\games\dying light\dyinglightgame.exe => Нет файла FirewallRules: [{38EAA773-275B-4233-B3B9-8E876DF03F72}] => (Allow) C:\Program Files (x86)\Overwolf\0.226.1.2\OverwolfBrowser.exe => Нет файла FirewallRules: [{2BD174D2-F524-471E-8C31-DCA28B32A1A1}] => (Allow) C:\Program Files (x86)\Overwolf\0.226.1.2\OverwolfBrowser.exe => Нет файла FirewallRules: [{BAB2091C-A04B-4081-A9DB-FE7D6AE27B30}] => (Block) C:\Program Files (x86)\Overwolf\0.226.1.2\OverwolfBrowser.exe => Нет файла FirewallRules: [{176E5667-89B0-43F6-866F-4C97443D8074}] => (Block) C:\Program Files (x86)\Overwolf\0.226.1.2\OverwolfBrowser.exe => Нет файла FirewallRules: [{6E507259-E7F9-4BB1-ABE2-FBB7AC57CCCD}] => (Allow) 㩃啜敳獲䝜敲湥䜠潯敳䅜灰慄慴剜慯業杮瑜捯㝜唲卡攮數 => Нет файла FirewallRules: [{581CB5A3-57DD-4F33-938B-4D445D9BDFE8}] => (Allow) 㩃啜敳獲䝜敲湥䜠潯敳䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{5A6AAA3D-C87A-4348-AD00-7EFC1DDE0C09}] => (Allow) 㩃啜敳獲䝜敲湥䜠潯敳䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{AFE1F59B-112C-4813-A6F1-B3839F0AFFE0}] => (Allow) 㩃啜敳獲䝜敲湥䜠潯敳䅜灰慄慴剜慯業杮瑜捯啜䅕硥e => Нет файла EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Последнее редактирование:
- Сообщения
- 16,843
- Решения
- 1
- Реакции
- 3,516
@makpupsik, скрипт выполнить получилось? Наша помощь еще требуется?
- Сообщения
- 16,843
- Решения
- 1
- Реакции
- 3,516
Здравствуйте!
Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.
Спасибо за использование нашего форума и удачи!
Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.
Спасибо за использование нашего форума и удачи!
- Статус
Похожие темы
- Закрыта
- Закрыта
