Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал майнер "Realteck hd audio"

Никитка

От Никитка
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Никитка Новичок

Никитка

Опубликовано
Опубликовано

Здравствуйте, недавно поймал майнер "Realteck hd audio", попытался от него избавиться с помощью DrWeb cureit, но это не помогло, потом с AVB - пишет что "удалил" его, но всегда после перезагрузки ПК появляются коммандные строки и powershell, снова появляется. Не знаю что делать помогите пожалуйста.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Ну тогда выполните Порядок оформления запроса о помощи.

Новую тему создавать не нужно, логи прикрепите к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Никитка Новичок

Никитка

Опубликовано
  • Автор
Опубликовано
23 минуты назад, thyrex сказал:

Можно

Извините,  сегодня я не могу скинуть логи из-за проблем с интернетом в безопасном режиме, скину завтра, простите меня что занял ваше время.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) в безопасном режиме

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat','');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe','');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemT\0mOiTfOKnpVI75');
 DeleteFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat','64');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryHosts');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataS\BcmYOz');
 DeleteFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat','64');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryHosts');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Дальнейшие действия уже нужно выполнять в нормальном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
1 час назад, thyrex сказал:

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Вы как-то странно читаете. Ждем и этот файл

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Мелькор
      Поймал майнера
      От Мелькор
      А вы можете и мне помочь пожалуйста? А то ноуту тяжело, а мне печально от этого((
      Desktop.rar
       
      Сообщение от модератора thyrex Перенесено из темы
    • Вивьен
      Майнеры не дают себя удалить. COMSurrogate, NT Kernel и Realtek HD audio
      От Вивьен
      Все симптомы майнера. Закрывает диспетчер задач, не даёт скачать антивирусы, нагружает процессор, не даёт доступ к некоторым командам. Пробовала запустить AVBR - не даёт, закрывает. Ставила мальвари - не даёт установить. Пыталась уже вручную разрешить запуск нужных программ - всё то же самое. Доктор веб тоже не хочет запускать, пишет что отказано в доступе. Удаляла запреты антивирусов через реестр, всё равно то же самое. Запускала антивирусы через безопасный режим и через обычный - никак не даёт. Windows 7. Помогите пожалуйста
    • DarkMeF
      Поймал майнер. Не могу своими силами устранить(
      От DarkMeF
      Добрый вечер. Словил майнер.

       
      по классике в общем. microsoftHost грузит. Но этот какой то жуткий. Вообще никуда не дает зайти. Даже system explorer блочит. можно увилеть разве что так
       

       
      Пожалуйста помогите)) 
      Логи прикрепил, надеюсь правильно
      CollectionLog-2025.01.04-23.11.zip
      Само собой пытался удалять, но он сразу восстает
    • Holo_Yolo
      Проблемы после майнера
      От Holo_Yolo
      Здравствуйте, проблема такая, после удаления майнера и процедуры лечения всё вернулось в норму, но перестала обновляться Windows 
      Так же были проблемы с запуском некоторых команд в командной строке, но их исправил путём удаления из реестра 
      Фото ошибки прилагаю 

    • ванькаветер
      [РЕШЕНО] Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
×
×
  • Создать...