Решена вирус realtekHD taskhostw

Статус
В этой теме нельзя размещать новые ответы.
dsadqwed

dsadqwed

Новый пользователь
Сообщения
7
Реакции
0
Не открывается папка Programdata, сайты антивирусов, сами антивирусы. Автологер, AV Block и т.п открываются только в безопасном режиме. Через диспетчер отключить Realtek не получается. памагите!!1 плз
 

Вложения

В безопасном. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\82SJxWHd0uzeoI\Game.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\82SJxWHd0uzeoI\MasterDataK.bat', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\DRM\82SJxWHd0uzeoI\MasterDataK.bat', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataK\82SJxWHd0uzeoI');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataK\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataK\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{82B52682-0E8B-475D-BBA0-D58CC7DBB53F} - \Microsoft\Windows\WindowsBackup\DataBase (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A33C6209-22F1-46A9-A84E-C2622EA6DD05} - \Microsoft\Windows\Wininet\winser (no xml)


После в обычном режиме
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
quarantine.7z отправил на почту
 

Вложения

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Task: {1F861063-38C0-4EAE-8315-B2888E9F2224} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
Task: {37871A1F-CDA3-4047-806C-948B2C79013A} - System32\Tasks\Driver Booster SkipUAC (pogor) => "E:\Driver Booster\10.6.0\DriverBooster.exe"  /skipuac (Нет файла)
Task: {04CEE8F5-87E2-4282-8403-0EF0B54877BA} - System32\Tasks\Driver Booster Update => "E:\Driver Booster\10.6.0\AutoUpdate.exe"  /auto (Нет файла)
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files\Transmission
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files\SUPERAntiSpyware
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files\Process Hacker 2
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\Transmission
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\SpeedFan
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\Moo0
2023-08-30 01:27 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\IObit
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Users\pogor\Downloads\AV_block_remover
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Users\pogor\Downloads\AutoLogger
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\WavePad
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Norton
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\McAfee
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\grizzly
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Evernote
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\ESET
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\BookManager
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\AVAST Software
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\360safe
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\SpyHunter
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Rainmeter
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Process Lasso
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\HitmanPro
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\ESET
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\DrWeb
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\COMODO
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Cezurity
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\AVG
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\AVAST Software
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\AVG
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\360
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\KVRT2020_Data
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\KVRT_Data
2023-08-30 01:26 - 2023-08-30 13:46 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-08-30 01:26 - 2023-08-30 13:46 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-08-30 01:26 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Setup
2023-08-30 01:27 C:\Users\pogor\Downloads\AutoLogger
2023-08-30 01:27 C:\Users\pogor\Downloads\AV_block_remover
FirewallRules: [TCP Query User{D9E133AF-7CA2-44D8-A925-A7C31E72EF36}E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe] => (Allow) E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4CE73623-A4BC-499B-801C-1B4B00667FAE}E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe] => (Allow) E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe => Нет файла
FirewallRules: [{7B530F15-470A-48B4-BB5C-0160AF57AC1A}] => (Allow) C:\Users\pogor\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{FA5D1D38-7D51-4926-AA83-0E5CD2EF27EC}] => (Allow) C:\Users\pogor\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
вроде бы ушла проблема но не до конца. я все так же не могу зайти на сайты c антивирусами. но могу зайти в програмдата
 
И это поправим
Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
 
Не дождались окончания работы, переделывайте.
 
Ситуация с доступом к сайтам исправилась?
 
все исправилось.спасибо большое
 
Последнее редактирование:
Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

N
  • Закрыта
Закрыто Вирус связан с RealtekHD(taskhostw.exe)
Ответы
3
Просмотры
512
Sandor
Sandor
A
  • Закрыта
Решена Вирус taskhostw.exe находящиеся в невидимой папке RealtekHD
Ответы
5
Просмотры
581
Sandor
Sandor
D
  • Закрыта
Решена taskhost.exe, taskhostw.exe в C:/ProgramData/RealtekHD (вирус/майнер, грузящий систему)
Ответы
15
Просмотры
2K
Sandor
Sandor
Назад
Сверху Снизу