Никитка Опубликовано 22 августа, 2023 Опубликовано 22 августа, 2023 Здравствуйте, недавно поймал майнер "Realteck hd audio", попытался от него избавиться с помощью DrWeb cureit, но это не помогло, потом с AVB - пишет что "удалил" его, но всегда после перезагрузки ПК появляются коммандные строки и powershell, снова появляется. Не знаю что делать помогите пожалуйста.
thyrex Опубликовано 22 августа, 2023 Опубликовано 22 августа, 2023 https://www.cyberforum.ru/viruses/thread3125874.html Ваша тема?
Никитка Опубликовано 22 августа, 2023 Автор Опубликовано 22 августа, 2023 Нет, это не моя тема, с майнером встретился впервые
thyrex Опубликовано 22 августа, 2023 Опубликовано 22 августа, 2023 Ну тогда выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
Никитка Опубликовано 22 августа, 2023 Автор Опубликовано 22 августа, 2023 Открываю AutoLogger и после появления окна/нажатии на кнопку ок он закрывается, можно ли его запустить в безопасном режиме?
Никитка Опубликовано 22 августа, 2023 Автор Опубликовано 22 августа, 2023 23 минуты назад, thyrex сказал: Можно Извините, сегодня я не могу скинуть логи из-за проблем с интернетом в безопасном режиме, скину завтра, простите меня что занял ваше время.
thyrex Опубликовано 22 августа, 2023 Опубликовано 22 августа, 2023 Интернет не нужен для запуска программы
Никитка Опубликовано 23 августа, 2023 Автор Опубликовано 23 августа, 2023 18 часов назад, thyrex сказал: Можно Вот логи CollectionLog-2023.08.23-18.58.zip
thyrex Опубликовано 23 августа, 2023 Опубликовано 23 августа, 2023 Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) в безопасном режиме begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe',''); QuarantineFile('C:\ProgramData\windowstask\audiodg.exe',''); QuarantineFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat',''); QuarantineFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat',''); QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe',''); DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64'); DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64'); DeleteSchedulerTask('Microsoft\Windows\FilesystemT\0mOiTfOKnpVI75'); DeleteFile('C:\ProgramData\Microsoft\MapData\0mOiTfOKnpVI75\FilesystemT.bat','64'); DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryHosts'); DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64'); DeleteSchedulerTask('Microsoft\Windows\FilesystemT\RecoveryTask'); DeleteSchedulerTask('Microsoft\Windows\MasterDataS\BcmYOz'); DeleteFile('C:\ProgramData\Microsoft\Windows\BcmYOz\MasterDataS.bat','64'); DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryTask'); DeleteSchedulerTask('Microsoft\Windows\MasterDataS\RecoveryHosts'); DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64'); DeleteSchedulerTask('Microsoft\Windows\Wininet\winser'); DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers'); DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32'); DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Обратите внимание: будет выполнена перезагрузка компьютера. Дальнейшие действия уже нужно выполнять в нормальном режиме. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Скачайте AV block remover. Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
Никитка Опубликовано 23 августа, 2023 Автор Опубликовано 23 августа, 2023 Так как у меня файл превышает 20мб я отправил по почте
Никитка Опубликовано 23 августа, 2023 Автор Опубликовано 23 августа, 2023 AV_block_remove_2023.08.23-21.45.log
thyrex Опубликовано 23 августа, 2023 Опубликовано 23 августа, 2023 1 час назад, thyrex сказал: После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки. Вы как-то странно читаете. Ждем и этот файл
Никитка Опубликовано 23 августа, 2023 Автор Опубликовано 23 августа, 2023 CollectionLog-2023.08.23-21.52.zip
Рекомендуемые сообщения