Решена Сложный вирус NT Kernel & System audiodg.exe,

Статус
В этой теме нельзя размещать новые ответы.

Astafyev

Новый пользователь
Сообщения
12
Реакции
1
Здравствуйте.
Где-то цапнул вирус.

Как я понял, он сам загружается при запуске системы, очень сильно нагревает ноут. Антивирусы установить не даёт. Большинство программ закрывает самостоятельно. Местонахождение файла C:\ProgramData\WindowsTask\audiodg.exe.

Нашёл подобную ветку на форуме ( Решена - Сложный вирус NT Kernel & System (taskhost.exe, audiodg.exe, MicrosoftHost.exe) ), но ничего не произошло. Через Farbar Recovery Scan Tool сделал скан, файлы прикрепляю в архиве.
 

Вложения

  • троян.zip
    33 KB · Просмотры: 8
Здравствуйте!

Поясните, пожалуйста:
но ничего не произошло
То есть, вы проделали рекомендации, написанные специально для другой системы и ничего не произошло?

Давайте начнём со стандартных логов - Правила оформления запроса о помощи
 
  • Like
Реакции: akok
Если вы действовали по схеме той темы, отчёт AVbr тоже покажите (файл AV_block_remove_дата-время.log).

"Пофиксите" в HijackThis только следующие строки:
Код:
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
Перезагрузите компьютер.

Удалите старые и соберите новые логи Farbar - FRST.txt и Addition.txt
 
Если вы действовали по схеме той темы, отчёт AVbr тоже покажите (файл AV_block_remove_дата-время.log).

"Пофиксите" в HijackThis только следующие строки:
Код:
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
Перезагрузите компьютер.

Удалите старые и соберите новые логи Farbar - FRST.txt и Addition.txt
Прикрепляю отчет AVbr сделанный ночью
И новые логи Farbar
 

Вложения

  • AV_block_remove_2023.03.21-01.23.log
    6.7 KB · Просмотры: 1
  • Far.zip
    32.4 KB · Просмотры: 3
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    FirewallRules: [{5DB87960-C674-4CE4-B851-6706BD9089BD}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{18187CDB-05FA-4F49-8909-FD7B7FA83778}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{2C61495A-2500-46E1-88E0-FEB4328DC885}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{E6A50045-547D-4F47-8B6A-8CB986F5C3D3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{066A47A1-A18A-4583-9AB0-6F6C5D3699BB}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{6480ABB6-4AE8-4C1D-975C-B3FD45DD2015}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{0EF4E631-C0C2-49CA-9BB7-15626A673EDC}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{735B0D4C-1569-428D-8F13-40074A85EFC8}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{92F0F392-8BBE-4AF1-98B5-417ACE11B3C7}] => (Block) LPort=445
    FirewallRules: [{960FFBA1-1ABA-4B22-B0A0-1D40A214D7C8}] => (Block) LPort=445
    FirewallRules: [{54C39448-B462-4A2C-B1BE-A7E068B3087A}] => (Block) LPort=139
    FirewallRules: [{9C125D37-F44A-4D56-9111-6E47D509A24B}] => (Block) LPort=139
    FirewallRules: [{FA057145-B4B2-4589-B59B-1EEE669E05D7}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    FirewallRules: [{A05A9A40-86F5-4B15-BE44-088955AC0BD1}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    FirewallRules: [{5DB87960-C674-4CE4-B851-6706BD9089BD}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{18187CDB-05FA-4F49-8909-FD7B7FA83778}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{2C61495A-2500-46E1-88E0-FEB4328DC885}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{E6A50045-547D-4F47-8B6A-8CB986F5C3D3}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{066A47A1-A18A-4583-9AB0-6F6C5D3699BB}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{6480ABB6-4AE8-4C1D-975C-B3FD45DD2015}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
    FirewallRules: [{0EF4E631-C0C2-49CA-9BB7-15626A673EDC}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{735B0D4C-1569-428D-8F13-40074A85EFC8}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{92F0F392-8BBE-4AF1-98B5-417ACE11B3C7}] => (Block) LPort=445
    FirewallRules: [{960FFBA1-1ABA-4B22-B0A0-1D40A214D7C8}] => (Block) LPort=445
    FirewallRules: [{54C39448-B462-4A2C-B1BE-A7E068B3087A}] => (Block) LPort=139
    FirewallRules: [{9C125D37-F44A-4D56-9111-6E47D509A24B}] => (Block) LPort=139
    FirewallRules: [{FA057145-B4B2-4589-B59B-1EEE669E05D7}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    FirewallRules: [{A05A9A40-86F5-4B15-BE44-088955AC0BD1}] => (Allow) LPort=3389
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Сделал
 

Вложения

  • Fixlog.txt
    6.2 KB · Просмотры: 3
Какой антивирус? Ещё некоторое время подождите, не исключено, что это нормально.
 
Возможно установщик пытается связаться со своими серверами и не может. Вам ведь известно, что Аваст ушли из РФ?
 
Dr. Web не обнаружил файл этот, хотя Антивирусник от винды его ругает до сих пор
 
1679476633894.png

Покажите скриншот, пожалуйста.
Добрый день
 
Следующий скрипт выполните в безопасном режиме
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Следующий скрипт выполните в безопасном режиме
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
УРААА ОН ИСЧЕЗ
СПАСИБО!
 

Вложения

  • Fixlog.txt
    17.3 KB · Просмотры: 3
Строго говоря, его уже и не было, просто запись в журнале Защитника. На скрине видно, что обнаружение было два дня назад.

Хорошо, завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу