Никитка 0 Опубликовано 22 августа, 2023 Share Опубликовано 22 августа, 2023 Здравствуйте, недавно поймал майнер "Realteck hd audio", попытался от него избавиться с помощью DrWeb cureit, но это не помогло, потом с AVB - пишет что "удалил" его, но всегда после перезагрузки ПК появляются коммандные строки и powershell, снова появляется. Не знаю что делать помогите пожалуйста. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 22 августа, 2023 Share Опубликовано 22 августа, 2023 https://www.cyberforum.ru/viruses/thread3125874.html Ваша тема? Ссылка на сообщение Поделиться на другие сайты
Никитка 0 Опубликовано 22 августа, 2023 Автор Share Опубликовано 22 августа, 2023 Нет, это не моя тема, с майнером встретился впервые Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 22 августа, 2023 Share Опубликовано 22 августа, 2023 Ну тогда выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Никитка 0 Опубликовано 22 августа, 2023 Автор Share Опубликовано 22 августа, 2023 Открываю AutoLogger и после появления окна/нажатии на кнопку ок он закрывается, можно ли его запустить в безопасном режиме? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 22 августа, 2023 Share Опубликовано 22 августа, 2023 Можно Ссылка на сообщение Поделиться на другие сайты
Никитка 0 Опубликовано 22 августа, 2023 Автор Share Опубликовано 22 августа, 2023 23 минуты назад, thyrex сказал: Можно Извините, сегодня я не могу скинуть логи из-за проблем с интернетом в безопасном режиме, скину завтра, простите меня что занял ваше время. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 22 августа, 2023 Share Опубликовано 22 августа, 2023 Интернет не нужен для запуска программы Ссылка на сообщение Поделиться на другие сайты
Никитка 0 Опубликовано 23 августа, 2023 Автор Share Опубликовано 23 августа, 2023 18 часов назад, thyrex сказал: Можно Вот логи CollectionLog-2023.08.23-18.58.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 августа, 2023 Share Опубликовано 23 августа, 2023 Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) в безопасном режиме begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe',''); QuarantineFile('C:\ProgramData\windowstask\audiodg.exe',''); QuarantineFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat',''); QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe',''); DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64'); DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64'); DeleteSchedulerTask('Microsoft\Windows\FilesystemT\0mOiTfOKnpVI75'); DeleteFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat','64'); DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryHosts'); DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64'); DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryTask'); DeleteSchedulerTask('Microsoft\Windows\MasterDataS\BcmYOz'); DeleteFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat','64'); DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryTask'); DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryHosts'); DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64'); DeleteSchedulerTask('Microsoft\Windows\Wininet\winser'); DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers'); DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32'); DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Обратите внимание: будет выполнена перезагрузка компьютера. Дальнейшие действия уже нужно выполнять в нормальном режиме. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Скачайте AV block remover. Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки. Ссылка на сообщение Поделиться на другие сайты
Никитка 0 Опубликовано 23 августа, 2023 Автор Share Опубликовано 23 августа, 2023 Так как у меня файл превышает 20мб я отправил по почте Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 августа, 2023 Share Опубликовано 23 августа, 2023 Ждем выполнения всего остального Ссылка на сообщение Поделиться на другие сайты
Никитка 0 Опубликовано 23 августа, 2023 Автор Share Опубликовано 23 августа, 2023 AV_block_remove_2023.08.23-21.45.log Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 23 августа, 2023 Share Опубликовано 23 августа, 2023 1 час назад, thyrex сказал: После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки. Вы как-то странно читаете. Ждем и этот файл Ссылка на сообщение Поделиться на другие сайты
Никитка 0 Опубликовано 23 августа, 2023 Автор Share Опубликовано 23 августа, 2023 CollectionLog-2023.08.23-21.52.zip Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения