[РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца

[Николай212322122]

Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.

 

Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.

 

Подскажите пж, что делать?

 

Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи

Изменено 25 декабря, 2025 пользователем Николай212322122

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Николай212322122]

27 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

Подскажите пж что означают эти строчки "Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр)" во втором пункте Порядок оформления запроса о помощи? Нужно ли как то отключать встроенную защиту виндоус, имею в виду встроенный антивирус виндоус? Если да то как это сделать?

 

Прикрепляю файл с логами - 

CollectionLog-2025.12.25-13.29.zip

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

[Николай212322122]

AV_block_remove_2025.12.25-14.46.log

Новый CollectionLog

CollectionLog-2025.12.25-14.59.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Николай212322122]

Нет файла HijackThis в папке Autologger. Есть только файл AV_Z. Подскажите, скрипт запускать по инструкции в файле AV_Z?

Все, нашел!

 

Готово 

Addition and FRST.zip

Изменено 25 декабря, 2025 пользователем Николай212322122

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\PC\AppData\Local\Temp\dControl.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Николай212322122]

Fixlog.txt

[thyrex]

Проблеме рашена?

[Николай212322122]

Вроде бы да. Компьютер перестал работать на максималках даже если просто стоит, и вроде бы ни каких багов и лагов нет. Так же пропали другие проблемы в виде закрытия браузера при вводе слова "антивирус" и открытия диспетчера задач. Но в диспетчере задач все еще остались активные задачи от Realtek, также осталась эта программа в автозагрузке плюс очень странное приложение по названием "Program". Прикрепляю фото. Это нормально то что эти программы остались? 

Отталкиваясь от логов, все ли у меня сейчас чисто? Могу ли я безопасно пользоваться ноутбуком?

 

 

photo.zip

Изменено 25 декабря, 2025 пользователем Николай212322122

[thyrex]

1 час назад, Николай212322122 сказал:

в диспетчере задач все еще остались активные задачи от Realtek

это легитимные процессы

 

Что за странный Program сказать трудно, но не похоже, что связано с вирусом. Скорее всего что-то не полностью отобразилось от TeamsMachineInstaller.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  
• Прикрепите этот файл в своем следующем сообщении.

[Николай212322122]

Готово

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20493 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft OneDrive v.25.222.1112.0002 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

На этом закончим.
 

[Николай212322122]

Искреннее большое спасибо за ваш труд! Подскажите еще пожалуйста:
 

1) На данный момент компьютер в безопастности, его можно использовать и вводить свои личные данные?
2) Это был вирус майнер? Сможете ли сказать с какой программы я его получил. Это нужно что бы понять мастер в сервисном центре намеренно его установил и если нет, то подсказать ему что бы он не устанавливал определенный софт с вирусами другим пользователям.

3) Нужно ли сейчас переустановить винду? Или это излишняя мера которая не на что не повлияет и только можно заново что то подцепить при установлении программ и драйверов?
4) Если есть советы или какие то полезные ссылки, что можно сделать еще что бы обезопасить себя сейчас и так же на будущие, то это будет очень полезно.

Обновлю по возможности программы которые указанны выше и восстановлю контрольные точки как описано в "Порядок оформления запроса о помощи"