Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
Решена Поймал вирус NT Kernel & System (taskhost.exe, audiodg.exe, MicrosoftHost.exe)
- Статус
- Сообщения
- 15,481
- Реакции
- 3,288
Здравствуйте!
Прочтите и выполните Правила оформления запроса о помощи
Новую тему создавать не нужно, продолжайте здесь.
Прочтите и выполните Правила оформления запроса о помощи
Новую тему создавать не нужно, продолжайте здесь.
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
Хорошо, не знал.
Вирус запускается вместе с Windows и открывает сразу несколько процессов которые сильно нагружают систему.
При открытии диспетчера задач все вредоносные процессы завершают свою работу, через небольшой промежуток времени диспетчер задач закрывается и процессы возобновляются.
При попытке выяснить расположение вредоносных файлов меня перенаправляет в несуществующие папки (C:\Programdata\RealtekHD\taskhost.exe или C:\ProgramData\WindowsTask\audiodg.exe или C:\ProgramData\WindowsTask\MicrosoftHost.exe).
Скачивал доктор веб секюрити, при каждой прогонки находит эти два вируса. после удаления открывается саморазхивирующий файл и устанавливает заново. Возможности удалить папку нет, не могу даже зайти в програмдата, так как он выключает проводник сразу же
Вложения
Последнее редактирование:
- Сообщения
- 15,481
- Реакции
- 3,288
Если в нормальном режиме не запускается Автологер, запустите его в безопасном.
Прикрепите созданный им архив с именем CollectionLog.
Прикрепите созданный им архив с именем CollectionLog.
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
вот сделал что дальше?
- Сообщения
- 15,481
- Реакции
- 3,288
Скачайте AV block remover.
Распакуйте (в любую папку КРОМЕ папки Рабочий стол или папки Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
Распакуйте (в любую папку КРОМЕ папки Рабочий стол или папки Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите новый CollectionLog Автологером.
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
Теперь у меня не запускається ноут. Не коректний вхож, і грузит перезагрузку
Что делать?
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
Я не знаю что делать, просто перестал включаться ноут, вин11 не хочет загружаться
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
Получилось зайди в систему вот что пишут
- Сообщения
- 15,481
- Реакции
- 3,288
Отлично! Система уже должна работать значительно лучше. Но ещё не всё, продолжим.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
вот сделал даже не вылетало
- Сообщения
- 15,481
- Реакции
- 3,288
Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.
MediaGet - не удалён до сих пор, удалите.
Вижу, вы выполняли чужой скрипт. Старайтесь в будущем так не делать. Скрипты пишутся индивидуально и, выполняя чужой, вы рискуете себе же навредить.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
MediaGet - не удалён до сих пор, удалите.
Вижу, вы выполняли чужой скрипт. Старайтесь в будущем так не делать. Скрипты пишутся индивидуально и, выполняя чужой, вы рискуете себе же навредить.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X] 2023-10-03 08:52 - 2023-10-03 08:52 - 000000000 __SHD C:\ProgramData\princeton-produce 2023-10-03 08:51 - 2023-10-06 12:05 - 000000000 ____D C:\ProgramData\WindowsTask 2023-10-03 08:51 - 2023-10-03 08:51 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll FirewallRules: [{AD9DF74F-3937-4543-9CA3-192F79639FCA}] => (Block) LPort=445 FirewallRules: [{572E97AC-2E04-4C4E-8327-DE1EF17D0CF9}] => (Block) LPort=445 FirewallRules: [{FFBBB167-2F04-4470-B2A0-FC5F469A797B}] => (Block) LPort=139 FirewallRules: [{AD347A13-94FE-46A4-8330-6C8C24574ACE}] => (Block) LPort=139 FirewallRules: [{E4316CBD-C231-47C8-9E2C-94C7D0BBA526}] => (Allow) LPort=3389 FirewallRules: [{5033E773-06FC-4139-B7CF-AA87CA86B282}] => (Block) LPort=445 FirewallRules: [{8943C72B-0BA1-4173-A902-98C53967616F}] => (Block) LPort=445 FirewallRules: [{4A6FFE67-3584-437D-A0EE-06B5257FE65B}] => (Block) LPort=139 FirewallRules: [{7B6423E7-FF0D-4343-963D-F88F315FECDF}] => (Block) LPort=139 FirewallRules: [{854AF126-295F-48A4-929A-2C3142A83A9B}] => (Allow) LPort=32683 FirewallRules: [{94275C92-7CE1-4D4F-9F3C-5BC1D4FE9BF7}] => (Allow) LPort=26822 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
- Сообщения
- 15,481
- Реакции
- 3,288
Следующий скрипт выполните в безопасном режиме загрузки:
Далее, уже в нормальном режиме соберите новые логи FRST.txt и Addition.txt
- Выделите следующий код:
Код:Start:: DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\KOZUCH~1\AppData\Local\Temp\files DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\MicrosoftHost.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Далее, уже в нормальном режиме соберите новые логи FRST.txt и Addition.txt
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
Vadimvas2012
Новый пользователь
- Сообщения
- 12
- Реакции
- 0
- Сообщения
- 15,481
- Реакции
- 3,288
Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Статус