Решена Словил майнер, realtekHDaudio

Статус
В этой теме нельзя размещать новые ответы.
Kusachki

Kusachki

Новый пользователь
Сообщения
5
Реакции
1
Словил майнер realtekHDaudio.exe, оно закрывало проводник при входе в папку ProgramData, и всё прочее.
По одному гайду с этого форума прошёлся AV-шкой, просканил FRST.
Дальше предлагали использовать некоторый скрипт, который очистит кеш и прочее, но я так понимаю что этот самый скрипт ещё нужно правильно собрать, а у меня ручки кривые для такого.
 

Вложения

  • AV_block_remove_2024.02.13-16.17.log
    11.3 KB · Просмотры: 1
  • FRST.txt
    50.3 KB · Просмотры: 1
  • Addition.txt
    814.5 KB · Просмотры: 1
Последнее редактирование:
Здравствуйте!

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-4146699174-386112156-479380857-1001\...\MountPoints2: {07e44446-85c7-11ed-9ea2-7085c29b8e81} - "H:\autoplay.exe" 
HKU\S-1-5-21-4146699174-386112156-479380857-1001\...\MountPoints2: {d6202aa7-38be-11ed-9e1c-7085c29b8e81} - "H:\AutoRun.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
CHR StartupUrls: Default -> "hxxp://mypoisk.su/","hxxp://googla.com.ua/q","hxxps://www.google.com/"
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OVGorskiy.ru.URL:FC91667982 [2594]
FirewallRules: [{48A084DC-89E6-4D2F-8E88-CC6E20489645}] => (Allow) LPort=1688
FirewallRules: [{1BC06689-9622-4F9E-8C58-2D4CAEB26DAE}] => (Allow) LPort=53
FirewallRules: [{F7823479-2544-4020-8D96-7218705EF7E4}] => (Allow) LPort=3001
FirewallRules: [{842FB2D9-2E3E-4070-A9EE-41FE53CE389B}] => (Allow) LPort=3000
FirewallRules: [{EC8BCE25-D224-4B8B-A113-B40775C7B373}] => (Allow) LPort=1542
FirewallRules: [{C245C890-898D-43E5-87FA-5AB39C36B265}] => (Allow) LPort=1542
FirewallRules: [{C3148E68-B91B-40A1-AD56-2E94CAE567FA}] => (Allow) LPort=53
FirewallRules: [{1C6D3C8F-6AC2-4B6C-8566-D2FB772A317B}] => (Allow) C:\Users\Kusachki\Downloads\360TS_Setup_Mini.exe => No File
FirewallRules: [{6FFC3DD7-0DDE-4012-9A7D-EA5E5D114F11}] => (Allow) C:\Users\Kusachki\Downloads\360TS_Setup_Mini.exe => No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Скрипт запустил, он отработал, вот логи.
 

Вложения

  • Fixlog.txt
    3.2 KB · Просмотры: 1
Хорошо. Как себя сейчас ведёт система?
 
Стабильно, не шумит, на взлёт идти не собирается, будто бы всё исправлено.
 
Хорошо, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Логи SecurityCheck.exe
 

Вложения

  • SecurityCheck.txt
    10.5 KB · Просмотры: 1
Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

Python 3.10.4 (64-bit) v.3.10.4150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.85.0 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.6425.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Notepad++ (32-bit x86) v.8.5.4 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления
paint.net v.4.3.11 Внимание! Скачать обновления
Discord v.1.0.9004 Внимание! Скачать обновления
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.18 Внимание! Скачать обновления


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу