Решена Вирус RealtekHD. Ошибка каждые 5 минут.
- Автор темы anzhelfox
- Дата начала
Переводчик Google
- Сообщения
- 6,393
- Решения
- 3
- Реакции
- 6,134
Скачайте AV block remover.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.
- Сообщения
- 6,393
- Решения
- 3
- Реакции
- 6,134
Деинсталлируйте следующее ПО:
Пофиксите в HJT (некоторые строки могут отсутствовать):
Затем:
Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.
Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.
Затем:
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
Пофиксите в HJT (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\StartupApproved\Run: [lampa] = C:\WINDOWS\system32\cmd.exe /c start vvv.dipladoks.org (2024/06/26) (sign: 'Microsoft')
O4 - HKCU\..\StartupApproved\Run: [utweb] = "C:\Users\lampa\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (file missing) (2024/06/26)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Экспорт в Microsoft Excel: (default) = C:\Program Files (x86)\Microsoft Office\Office15\EXCEL.EXE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Se&nd to OneNote: (default) = C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll (file missing)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation (empty)
O22 - Tasks: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O22 - Tasks: lampa - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v lampa /t REG_SZ /d "cmd.exe /c start vvv.dipladoks.org" (sign: 'Microsoft')
O22 - Tasks: NortonLifeLock Trial Agent V2 - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NLOKTrialAgentV2.exe /scheduled (file missing)
O22 - Tasks: RunGame - C:\Program Files\Client Helper\Client Helper.exe /schtask (file missing)
O22 - Tasks_Migrated: lampa - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v lampa /t REG_SZ /d "cmd.exe /c start vvv.dipladoks.org" (sign: 'Microsoft')
O22 - Tasks_Migrated: NortonLifeLock Trial Agent V2 - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NLOKTrialAgentV2.exe /scheduled (file missing)
O22 - Tasks_Migrated: RunGame - C:\Program Files\Client Helper\Client Helper.exe /schtask (file missing)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0Затем:
Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.
Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.
- Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
- После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
- Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
- По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
- Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.
Затем:
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
- Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
- Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
- Нажмите кнопку Scan (Сканировать).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
- Сообщения
- 6,393
- Решения
- 3
- Реакции
- 6,134
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
По возможности: отключите до перезагрузки антивирус.
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
По возможности: отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
Edge HKLM-x32\...\Edge\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
C:\Users\lampa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibeebpiibdhlijppcieibhkabhakecem
CHR HKU\S-1-5-21-3040151624-1513034449-1317095550-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-3040151624-1513034449-1317095550-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKU\S-1-5-21-3040151624-1513034449-1317095550-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kbpnbonnhilfdihhodnflcplajklibbc]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
CHR HKLM-x32\...\Chrome\Extension: [kbpnbonnhilfdihhodnflcplajklibbc]
CHR HKLM-x32\...\Chrome\Extension: [pfhgbfnnjiafkhfdkmpiflachepdcjod]
C:\Users\lampa\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\abmfjflbajpojjkmlgfpnmdmohdficce
CustomCLSID: HKU\S-1-5-21-3040151624-1513034449-1317095550-1001_Classes\CLSID\{38142727-3008-9161-1521-349515000000}\localserver32 -> отсутствует путь к файлу
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
- Сообщения
- 6,393
- Решения
- 3
- Реакции
- 6,134
Отлично, и в завершение:
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
- Сообщения
- 6,393
- Решения
- 3
- Реакции
- 6,134
Смените важные пароли (соц.сети, банк-клиенты, электронная почта). Проверьте мессенджеры на посторонние сессии (завершите все, что не ваше).
Обновите ПО:
Figma v.126.1.2 Внимание! Скачать обновления
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
Adobe Acrobat v.24.003.20112 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.146.0.7680.80 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.146.0.3856.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
Yandex v.25.12.5.693 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Office профессиональный плюс 2019 - больше не поддерживается и имеет не закрытую эксплуатируемую уязвимость, ознакомьтесь со статьей и внесите изменения в реестр для закрытия уязвимости
+++
Обновите ПО:
Figma v.126.1.2 Внимание! Скачать обновления
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
Adobe Acrobat v.24.003.20112 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.146.0.7680.80 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.146.0.3856.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
Yandex v.25.12.5.693 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Office профессиональный плюс 2019 - больше не поддерживается и имеет не закрытую эксплуатируемую уязвимость, ознакомьтесь со статьей и внесите изменения в реестр для закрытия уязвимости
+++
