Решена Пользователь John, Realtek HD и бог еще знает что.

iamxariton

Новый пользователь
Сообщения
9
Реакции
1
Добрый день. Как и у многих папка ProgrammData закрывается автоматически, пользователя John видно только через меню выбора вариантов загрузки.
RealtekHD.exe вроде удалось удалить, до этого и на ваш форум не мог зайти, браузер автоматически закрывался. Помогите пожалуйста.
 

Вложения

  • FRST.txt
    151.1 KB · Просмотры: 2
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
 
К сожалению, не могу скачать AVbr ни по одной из ссылок. при переходе по первой ссылке браузер закрывается. При переходе по второй пишет "Ошибка при установлении защищённого соединения". В доступе только данный ноутбук и интернет только через wi-fi.
 
При попытке запуска AVbr выдает сообщение что необходимо скачать новую версию( в заголовке написано "Утилита AVZ"). Скачал утилиту с сайта касперского, запустил проверку, прикладываю протокол, но не уверен что это то что вам требовалось.
 

Вложения

  • avz_log.txt
    5.4 KB · Просмотры: 0
Пока измените системную дату на неделю назад. Запустите AVbr, после перезагрузки верните дату на актуальную и запустите Autologger.
 
Сделано
 

Вложения

  • CollectionLog-2023.05.25-12.45.zip
    76.9 KB · Просмотры: 1
Ох, простите, забыл
 

Вложения

  • AV_block_remove_2023.05.17-12.30.log
    10.5 KB · Просмотры: 1
Спасибо, продолжаем.

"Пофиксите" в HijackThis только следующие строки:
Код:
O4 - HKLM\..\StartupApproved\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing) (2023/05/24)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O22 - Tasks: \Microsoft\Windows\RecoveryManagerK\RecoveryHosts - C:\Programdata\Microsoft\kgszs\script.bat (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\CheckUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\CleanCash - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RecoveryManager - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\RecoveryManagerK\RecoveryHosts - C:\Programdata\Microsoft\kgszs\script.bat (file missing)
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
готово
 

Вложения

  • Addition.txt
    43 KB · Просмотры: 1
  • FRST.txt
    45.6 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-438485830-2772122940-3216731705-1001\...\MountPoints2: {39b05e8c-29f7-11eb-b09a-806e6f6e6963} - "E:\Autorun.exe" 
    S3 iscFlash; \??\C:\Users\HEWLET~1\AppData\Local\Temp\pftDB8D.tmp\iscflashx64.sys [X] <==== ВНИМАНИЕ
    2023-05-20 16:10 - 2023-05-20 16:10 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Users\Hewlett Packard\Downloads\AV_block_remover
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Users\Hewlett Packard\Downloads\AutoLogger
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Users\Hewlett Packard\Desktop\AV_block_remover
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Users\Hewlett Packard\Desktop\AutoLogger
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\ProgramData\princeton-produce
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Program Files\SUPERAntiSpyware
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Program Files\RogueKiller
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Program Files\Process Hacker 2
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Program Files\HitmanPro
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Program Files\EnigmaSoft
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Program Files (x86)\SpeedFan
    2023-05-20 16:10 - 2023-05-20 16:10 - 000000000 __SHD C:\Program Files (x86)\Moo0
    FirewallRules: [{63FE4623-744C-497D-8CC9-BFF8F7B103F6}] => (Allow) LPort=2869
    FirewallRules: [{A7AFE38F-6B47-4293-B2DC-A81B9BAE78AD}] => (Allow) LPort=1900
    FirewallRules: [{F7199F28-7E72-4A34-B6EC-D076137664D1}] => (Allow) LPort=2869
    FirewallRules: [{503906D0-AE35-4BCD-ADCF-CA519E737179}] => (Allow) LPort=1900
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
готово
 

Вложения

  • Fixlog.txt
    5.6 KB · Просмотры: 1
Хорошо. Проблема решена?
 
Да вроде бы, большое вам спасибо. Вы просто волшебник!
 
Отлично, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
готово
 

Вложения

  • SecurityCheck.txt
    8.6 KB · Просмотры: 1
Исправьте по возможности:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security для Windows v.11.0.1.90 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46812 Внимание! Клиент сети P2P с рекламным модулем!.
Shareman, версия 102.3.78.235 v.102.3.78.235 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.5.10.2414 Внимание! Скачать обновления
K-Lite Mega Codec Pack 17.5.0 v.17.5.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО
 
Назад
Сверху Снизу