Перейти к содержанию
Правила раздела

[РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца

Николай212322122

Автор Николай212322122
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Николай212322122

Николай212322122

Опубликовано
Опубликовано (изменено)

Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.

 

Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.

 

Подскажите пж, что делать?

 

Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи

Изменено пользователем Николай212322122
Николай212322122

Николай212322122

Опубликовано
  • Автор
Опубликовано
27 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

Подскажите пж что означают эти строчки "Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр)" во втором пункте Порядок оформления запроса о помощи? Нужно ли как то отключать встроенную защиту виндоус, имею в виду встроенный антивирус виндоус? Если да то как это сделать?

 

Прикрепляю файл с логами - 

CollectionLog-2025.12.25-13.29.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) 

O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

  • Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.


4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

  • Спасибо (+1) 1
Николай212322122

Николай212322122

Опубликовано
  • Автор
Опубликовано (изменено)

Нет файла HijackThis в папке Autologger. Есть только файл AV_Z. Подскажите, скрипт запускать по инструкции в файле AV_Z?

Все, нашел!

 

Готово 

Addition and FRST.zip

Изменено пользователем Николай212322122
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\PC\AppData\Local\Temp\dControl.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Like (+1) 1
Николай212322122

Николай212322122

Опубликовано
  • Автор
Опубликовано (изменено)

Вроде бы да. Компьютер перестал работать на максималках даже если просто стоит, и вроде бы ни каких багов и лагов нет. Так же пропали другие проблемы в виде закрытия браузера при вводе слова "антивирус" и открытия диспетчера задач. Но в диспетчере задач все еще остались активные задачи от Realtek, также осталась эта программа в автозагрузке плюс очень странное приложение по названием "Program". Прикрепляю фото. Это нормально то что эти программы остались? 

Отталкиваясь от логов, все ли у меня сейчас чисто? Могу ли я безопасно пользоваться ноутбуком?

 

 

photo.zip

Изменено пользователем Николай212322122
thyrex

thyrex

Опубликовано
Опубликовано
1 час назад, Николай212322122 сказал:

в диспетчере задач все еще остались активные задачи от Realtek

это легитимные процессы

 

Что за странный Program сказать трудно, но не похоже, что связано с вирусом. Скорее всего что-то не полностью отобразилось от TeamsMachineInstaller.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20493 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.25.222.1112.0002 Внимание! Скачать обновления


---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

На этом закончим.
 

  • Спасибо (+1) 1
Николай212322122

Николай212322122

Опубликовано
  • Автор
Опубликовано

Искреннее большое спасибо за ваш труд! Подскажите еще пожалуйста:
 

1) На данный момент компьютер в безопастности, его можно использовать и вводить свои личные данные?
2) Это был вирус майнер? Сможете ли сказать с какой программы я его получил. Это нужно что бы понять мастер в сервисном центре намеренно его установил и если нет, то подсказать ему что бы он не устанавливал определенный софт с вирусами другим пользователям.

3) Нужно ли сейчас переустановить винду? Или это излишняя мера которая не на что не повлияет и только можно заново что то подцепить при установлении программ и драйверов?
4) Если есть советы или какие то полезные ссылки, что можно сделать еще что бы обезопасить себя сейчас и так же на будущие, то это будет очень полезно.

Обновлю по возможности программы которые указанны выше и восстановлю контрольные точки как описано в "Порядок оформления запроса о помощи"

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • Romchik45
      вирус закрывает антивирус
      Автор Romchik45
      1. Удалил антивирус 360 security.
      2. Захожу в антивирус винды (чтобы восстановить нужный мне файл) -журнал защиты и хочу восстановить один файл, в итоге там появляется непонятный файл и антивирус сам закрывается.
      3. Провел полное сканирование с помощью dr web cureit и обнаружились угрозы, переместились в карантин.
      После этого всего всеравно антивирус закрывается как на видео.
      Прилагаю еще скриншот с двумя непонятными программами которые установлены на пк.
      у меня виндовс 10 на пк
      https://www.youtube.com/watch?v=j5aPu8TweZI

      CollectionLog-2026.01.14-20.08.zip Архив ZIP - WinRAR.zip
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • Beshan
      После kms auto появляется самовосстанавливающаяся папка с trojan (czyuzabpfprl и ztbhbqffszlu)
      Автор Beshan
      Добрый день, пытался активировать виндовс через kms auto, после чего начали появляться самовосстанавливающиеся папки с файлом внутри, которые антивирус бесконечно теперь удаляет. Прикрепляю логи с Farbar Recovery Scan Tool. Спасибо
      Addition.zip FRST.zip
×
×
  • Создать...