Решена taskhostw.exe Realtek HD Audio странный

Kami22

Новый пользователь
Сообщения
4
Реакции
0
Суть такова, при сканировании Dr.Webом, показывает Tool.BtcMine.2622 и еще taskhostw.exe Realtek HD Audio, удаляю, производительность повышается, но через время опять производительность падает и снова их находит (да на сайти с антивирусниками не заходит). В автозагрузке пытаюсь убрать Realtek HD Audio, но через минту опять в автозагрузке включен. Если перейти с диспетчера на путь файла, выдает адрес C:\ProgramData\RealtekHD, переходит в папку, но она пуста, хотя через свойства показывает что есть один файл, его не видно, как и папки в ProgramData, хотя скрытые файлы показаны.
Потом опять появляется Tool.BtcMine.2622 и все тупит, что делать
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,218
Реакции
14,152
Доброго дня.
Шаг. 1
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe)

Шаг. 2
 

Kami22

Новый пользователь
Сообщения
4
Реакции
0
Спасибо за ответ, не знаю отразилось ли это в отчете, но еще мне предложили удалить еще одного пользователя, которого я не создавал.
 

Вложения

  • AV_block_remove_2022.05.17-14.45.log
    6.8 KB · Просмотры: 0

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,218
Реакции
14,152
Давайте логи из шага 2, посмотрим, что осталось.
 

Kami22

Новый пользователь
Сообщения
4
Реакции
0
Упустил, вот
 

Вложения

  • CollectionLog-2022.05.17-15.26.zip
    74.2 KB · Просмотры: 13

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,218
Реакции
14,152
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: (damaged) (disabled) \Microsoft\Windows\Autochk\Proxy - C:\WINDOWS\system32\rundll32.exe /d acproxy.dll,PerformAutochkOperations (Microsoft) (user missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\S-1-5-21-1561612839-3555946138-1187607165-1001 (empty)
O22 - Task: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: UnHackMe Task Scheduler - C:\Program Files (x86)\UnHackMe\hackmon.exe $(Arg0) (file missing)

Проверяйте, что с проблемой.
 

Kami22

Новый пользователь
Сообщения
4
Реакции
0
Выполнил. Проблема решена, большое спасибо !
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,271
Реакции
2,765
Отлично!
В завершение:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сверху Снизу