Решена Вирус Realtek HD блокирует доступ к program data и диспетчеру задач
- Автор темы KennyStan
- Дата начала
-
- Теги
- realtek hd
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
При запуске вылетает ошибка: установите новую версию, хотя скачал последнюю, также при переходе на ссылку AV block remover выключается браузер
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
1) Откуда скачивали?
2) Лог утилиты всё равно покажите.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Там откуда вы скачали лежит версия от прошлого года
При чём если бы даже она запустилась, то толку было бы мало ибо майнер постоянно обновляется. Вот перезалил актуальную Быстрый обмен файлами
извиняюсь, вот правильный лог
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Нет, не отработала. Либо вы не дождались пока 20 сек. пройдёт о чём там просило, либо вирус её закрыл. Если она сама закрывается после этого, то попробуйте запустить в безопасном режиме с поддержкой сети.
- Сообщения
- 14,923
- Решения
- 5
- Реакции
- 6,856
Сейчас отработало, теперь давайте логи по правилам Правила оформления запроса о помощи
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Programdata\Microsoft\yttgg\script.bat', '');
QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
QuarantineFile('C:\Windows\SysWOW64\unsecapp.exe', '');
DeleteFile('C:\Programdata\Microsoft\yttgg\script.bat', '64');
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
DeleteFile('C:\Windows\SysWOW64\unsecapp.exe', '64');
DeleteSchedulerTask('Microsoft\Windows\CheckGlobalA\RecoveryHosts');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\GlobalData');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SystemManager');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [Steam] = D:\ Steam\steam.exe -silent (file missing)
O4 - HKCU\..\StartupApproved\Run: [YandexBrowserAutoLaunch_EB3E2E35B88C8A18D33CFDE41B2483FE] = C:\Users\PC\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --shutdown-if-not-closed-by-system-restart (file missing) (2023/05/20)
O7 - AppLocker: (Allow) [AppX] [Publisher] *
O7 - AppLocker: (Allow) [Executable] [Path] %PROGRAMFILES%\*
O7 - AppLocker: (Allow) [Executable] [Path] %WINDIR%\*
O7 - AppLocker: (Allow) [Executable] [Path] *
O7 - AppLocker: (Allow) [Executable] [Path] *
O7 - AppLocker: (Allow) [Installer] [Path] %WINDIR%\Installer\*
O7 - AppLocker: (Allow) [Installer] [Path] *.*
O7 - AppLocker: (Allow) [Installer] [Publisher] *
O7 - AppLocker: (Allow) [Script] [Path] %OSDRIVE%\*
O7 - AppLocker: (Allow) [Script] [Path] %PROGRAMFILES%\*
O7 - AppLocker: (Allow) [Script] [Path] %WINDIR%\*
O7 - AppLocker: (Allow) [Script] [Path] *
O7 - AppLocker: (Deny) [Executable] [Hash] 0tIlzz.exe (Size: 9248139) - 0xfc623e48c758afd9d7abd2e180e2672b5af90482d58c18d9ed8b5860d9a5e90e
O7 - AppLocker: (Deny) [Executable] [Hash] 1AVbr.exe (Size: 9057467) - 0x7add7093ab708d7e8a1231cb553c27f8f3780531ed34bb8982c4b252114bc24d
O7 - AppLocker: (Deny) [Executable] [Hash] AutoLogger.exe (Size: 16713268) - 0x62fe663c4b54c627b0249e19ba70b67821559c9bc977b20a2f1145e2add2c3d8
O7 - AppLocker: (Deny) [Executable] [Hash] AVbr.exe (Size: 9254827) - 0x6d05135951d6d4904df42ab73047174e7d42eb5da74cf4742708d6e7a46c94f0
O7 - AppLocker: (Deny) [Executable] [Hash] avz.exe (Size: 794624) - 0xbc7b5245b6976be2578fae4b693e9578118253e564e62b2da04e2d5514eb490f
O7 - AppLocker: (Deny) [Executable] [Hash] ComboFix.exe (Size: 5659583) - 0xcdc83269d90eb7fd908dd5805ab89bb5938c51c2a2cfec4611bbd2acebdcd511
O7 - AppLocker: (Deny) [Executable] [Hash] FRST.exe (Size: 2073600) - 0x57b21ad6b06d866a016ad639b01ecfb447c11664f1156efc85ad2760753ae409
O7 - AppLocker: (Deny) [Executable] [Hash] FSS.exe (Size: 958976) - 0x33c2a1d527d98c1888a2bf3388e667b02975ee3acc16ea392627a61410a4f1fb
O7 - AppLocker: (Deny) [Executable] [Hash] HijackThis.exe (Size: 388608) - 0x399a6288f737f0bb4c765021a7e793b9a7cf013ab47c46fe2919ffff0dcda847
O7 - AppLocker: (Deny) [Executable] [Hash] MBSetup.exe (Size: 2556344) - 0xb7fd9c28b9f193577e895b6032be5211f788dfb255768895e1ef6793b28b5684
O7 - AppLocker: (Deny) [Executable] [Hash] mcafee_trial_setup_433.0207.3919_key.exe (Size: 5891472) - 0xb685e0cf016014a3f940789cc0e3948d5c29be8f67031f282bbda2c9b41e2b98
O7 - AppLocker: (Deny) [Executable] [Hash] RSIT.exe (Size: 1107968) - 0x1b88e94654078ae830c5c111a32a998c93475e07a0ac68f8cb3ba81b44d69419
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ADAWARE SOFTWARE (LAVASOFT SOFTWARE CANADA INC.), L=MONTREAL, S=QUEBEC, C=CA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ADLICE, S=LOIRE-ATLANTIQUE, C=FR
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AHNLAB, INC., L=SEONGNAM-SI, S=GYEONGGI-DO, C=KR
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ALLIT SERVICE, LLC., L=KYIV, S=KYIVSKA, C=UA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AO KASPERSKY LAB, L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AUSLOGICS LABS PTY LTD, L=SYDNEY, S=NEW SOUTH WALES, C=AU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AVAST SOFTWARE S.R.O., L=PRAHA, C=CZ
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AVG TECHNOLOGIES USA, LLC, L=NEWTON, S=NORTH CAROLINA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AVIRA OPERATIONS GMBH, L=TETTNANG, S=BADEN-WÜRTTEMBERG, C=DE
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD., L=BEIJING SHI, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BEIJING QIHU TECHNOLOGY CO., LTD., S=BEIJING, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BITDEFENDER SRL, L=BUCHAREST, C=RO
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BLEEPING COMPUTER, LLC., L=HUNTINGTON STATION, S=NEW YORK, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BULLGUARD LTD., L=LONDON, S=LONDON, C=GB
O7 - AppLocker: (Deny) [Executable] [Publisher] O=CEZURITY LLC, L=SAINT PETERSBURG, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=COMODO SECURITY SOLUTIONS, INC., L=CLIFTON, S=NJ, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=DOCTOR WEB LTD., L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=EMSISOFT (EMSISOFT LIMITED), S=NELSON, C=NZ
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ENIGMASOFT LIMITED, L=DUBLIN 2, C=IE
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ESET, SPOL. S R.O., L=BRATISLAVA, C=SK
O7 - AppLocker: (Deny) [Executable] [Publisher] O=GLARYSOFT LTD, S=BEIJING, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=GRIDINSOFT, LLC, L=KYIV, C=UA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=GRIDINSOFT, LLC, L=KYIV, C=UA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=IOBIT CO., LTD, L=CHENGDU, S=SICHUAN, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=KASPERSKY LAB JSC, L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=KASPERSKY LAB, L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES CORPORATION, L=SANTA CLARA, S=CA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES INC, L=SANTA CLARA, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES INC., S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES INC., S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MCAFEE, LLC, L=SAN JOSE, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MICROWORLD TECHNOLOGIES INC., L=NOVI, S=MICHIGAN, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=NANO SECURITY LLC, L=BRYANSK, S=BRYANSK OBLAST, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=NORTONLIFELOCK INC., L=TEMPE, S=ARIZONA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=OOO "GREATIS SOFTVARYA", L=YAROSLAVL, S=YAROSLAVSKAYA OBLAST, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=PANDA SECURITY S.L., L=BILBAO, S=BASQUE COUNTRY, C=ES
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SIMPLY SUPER SOFTWARE, L=NUNEATON, S=WARWICKSHIRE, C=GB
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SOPHOS LTD, L=ABINGDON, C=GB
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SUPPORT.COM, INC., L=LOS ANGELES, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SURFRIGHT B.V., L=HENGELO, C=NL
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SYMANTEC CORPORATION, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SYSTWEAK SOFTWARE, L=JAIPUR, S=RAJASTHAN, C=IN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=TREND MICRO, INC., S=TAIPEI, C=TW
O7 - AppLocker: (Deny) [Executable] [Publisher] O=WEBROOT, L=BROOMFIELD, S=COLORADO, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ZEMANA D.O.O. SARAJEVO, L=SARAJEVO, C=BA
O7 - AppLocker: Fix all (including policies)- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,832
- Решения
- 1
- Реакции
- 3,516
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {D85151CA-682C-46AE-B547-45EEA0B9F168} - \Microsoft\Windows\WindowsBackup\FilesBackUP -> Нет файла <==== ВНИМАНИЕ CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] 2023-05-15 01:22 - 2023-05-15 01:22 - 000000000 __SHD C:\Users\PC\Downloads\AV_block_remover 2023-05-15 01:22 - 2023-05-15 01:22 - 000000000 __SHD C:\Users\PC\Desktop\AV_block_remover AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10476] AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [94] AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376] FirewallRules: [{C4E08A89-E91D-4A63-9730-BC2954F0A41B}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{950B9789-C0BB-4ABA-8375-229C3CC8FDF8}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла FirewallRules: [{4312B5E1-0FAA-4C04-B300-7CD3171D82B6}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла FirewallRules: [{AA1646BC-FCD5-46DC-BDB9-29143F7BC24A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{08E2602E-D68D-473E-A6E3-8D61003EA018}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{5AB025A6-5640-4A45-84A5-51305E3626DC}] => (Allow) LPort=9393 FirewallRules: [{C14A97F5-59D9-4CEC-A059-CAE116B05512}] => (Allow) LPort=9494 FirewallRules: [{5526DF46-F3A1-4128-84E1-1B94BAD4FEF7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{E2C14693-7755-4BF0-B182-37C15BFED6CC}] => (Allow) LPort=9494 FirewallRules: [{B762897C-2DF7-4476-A3CE-731DD0651316}] => (Allow) LPort=9393 FirewallRules: [{12BCB689-36DE-4E93-9C49-D196BD97D852}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{B82373E7-3667-4DD7-B083-49C69EB06919}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{BF8510A6-8080-4AB3-91AF-68EDF9B9435B}] => (Block) LPort=445 FirewallRules: [{0654E997-015A-4995-B929-6104B819793E}] => (Block) LPort=445 FirewallRules: [{F14B1425-6687-4E60-94A9-26C9E3D63195}] => (Block) LPort=139 FirewallRules: [{514B7AF4-42D8-48F7-85E5-F24242642859}] => (Block) LPort=139 FirewallRules: [{997E176F-BDDA-4418-B339-27C7D85BB658}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла FirewallRules: [{B6D01627-148F-4D9B-875E-77B7A9A2C768}] => (Allow) LPort=3389 FirewallRules: [{2AB619C7-C002-49D9-91AF-9FD366F3DE89}] => (Allow) LPort=80 FirewallRules: [{A4C28DD6-97D8-48A3-A1FE-0CCCE682BD55}] => (Allow) LPort=443 FirewallRules: [{919E48FB-4EFE-416E-B099-1AC0F4EBA687}] => (Allow) LPort=20010 FirewallRules: [{2B877A05-D84C-4A9D-B7FC-CF6D36E4489C}] => (Allow) LPort=3478 FirewallRules: [{EF118027-631B-4E3D-A5E8-079281EF1D15}] => (Allow) LPort=7850 FirewallRules: [{4DA83BBE-034C-488E-A2AF-054A15E95F8C}] => (Allow) LPort=7852 FirewallRules: [{9E89BCA4-9FE5-4BFB-8348-269368B70609}] => (Allow) LPort=7853 FirewallRules: [{E9281561-F077-42D0-A904-8479E5E3CB89}] => (Allow) LPort=27022 FirewallRules: [{3F4092E5-A17C-4335-934E-BCC32011249A}] => (Allow) LPort=6881 FirewallRules: [{6B40637A-3FA1-486D-8ACB-F649D0EE1FA4}] => (Allow) LPort=33333 FirewallRules: [{2405E66E-7ECA-4C57-B2B5-1E709459B721}] => (Allow) LPort=20443 FirewallRules: [{7704BAAE-350B-477B-964F-E7A6B01B4EF6}] => (Allow) LPort=8090 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Похожие темы
- Закрыта
