Перейти к содержанию

[РЕШЕНО] Поймал майнер "Realteck hd audio"


Рекомендуемые сообщения

Здравствуйте, недавно поймал майнер "Realteck hd audio", попытался от него избавиться с помощью DrWeb cureit, но это не помогло, потом с AVB - пишет что "удалил" его, но всегда после перезагрузки ПК появляются коммандные строки и powershell, снова появляется. Не знаю что делать помогите пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты

Ну тогда выполните Порядок оформления запроса о помощи.

Новую тему создавать не нужно, логи прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Открываю AutoLogger и после появления окна/нажатии на кнопку ок он закрывается, можно ли его запустить в безопасном режиме?

Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, thyrex сказал:

Можно

Извините,  сегодня я не могу скинуть логи из-за проблем с интернетом в безопасном режиме, скину завтра, простите меня что занял ваше время.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) в безопасном режиме

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat','');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe','');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemT\0mOiTfOKnpVI75');
 DeleteFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat','64');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryHosts');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataS\BcmYOz');
 DeleteFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat','64');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryHosts');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Дальнейшие действия уже нужно выполнять в нормальном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, thyrex сказал:

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Вы как-то странно читаете. Ждем и этот файл

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...