Решена Удаление майнера realtek

[Volver]

Здравствуйте, помогите пожалуйста удалить майнер realtek
Доктор веб не смог помочь, встроенный в windows 10 тоже не помог
Запускал в безопасном режиме AV block remove (ниже приклепляю log)
Далее запустил FRST64 (также прикепляю addition.txt, frst.txt)
Подскажите пожалуйста, что делать дальше?

 

[Sandor]

Здравствуйте!

Вы запускали по этому пути:

C:\Users\Илья\OneDrive\Документы\AVbr\AV_block_remover\

И программа как следует не отработала.

Запустите из корня диска С.
А если будете запускать в безопасном режиме, выберите с поддержкой сети.

После работы AVbr прикрепите его новый лог и соберите стандартный набор CollectionLog по правилам раздела - Правила оформления запроса о помощи

 

[Volver]

Здравствуйте!

Вы запускали по этому пути:

И программа как следует не отработала.

Запустите из корня диска С.
А если будете запускать в безопасном режиме, выберите с поддержкой сети.

После работы AVbr прикрепите его новый лог и соберите стандартный набор CollectionLog по правилам раздела - Правила оформления запроса о помощи

Так пойдет?

 

[Sandor]

Тоже не сработал. Пробуйте переименовать, например, в A-V-b-r.exe и запустите ещё раз.

 

[Volver]

Тоже не сработал. Пробуйте переименовать, например, в A-V-b-r.exe и запустите ещё раз.

В обычном режиме вообще никак не получается запустить, а в безопасном я прикреплял. Еще странно, что в безопасном майнера как-будто вообще нету. И еще вопросик: нужно что-то выбирать при запуске avbr?

 

[Sandor]

Переименуйте и запускайте в безопасном с поддержкой сети. Выбирать ничего не нужно.

 

[Volver]

Переименуйте и запускайте в безопасном с поддержкой сети. Выбирать ничего не нужно.

 

[Sandor]

Другое дело
Теперь отработал как положено.

соберите стандартный набор CollectionLog по правилам раздела - Правила оформления запроса о помощи

 

[Volver]

Другое дело
Теперь отработал как положено.

ну да
и после этого удалился пользователь Jonh, и в диспетчере нету больше realtek
что-то еще нужно сделать?

 

[Sandor]

В предыдущем сообщении я повторил то, что нужно ещё сделать.

 

[Volver]

В предыдущем сообщении я повторил то, что нужно ещё сделать.

вот эти логи?

 

[Sandor]

Разве у вас не получился архив с именем CollectionLog-дата-время.zip?
Если получился, его прикрепите.

 

[Volver]

Разве у вас не получился архив с именем CollectionLog-дата-время.zip?
Если получился, его прикрепите.

 

[Sandor]

Спасибо!

Пожалуйста, не нужно цитировать полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Продолжаем:
1.
"Пофиксите" в HijackThis только следующие строки:

O4 - HKCU\..\StartupApproved\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing) (2022/11/02)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O15 - Trusted Zone: hxxp://webcompanion.com
O23 - Driver S3: R0FanControl - C:\Users\Илья\AppData\Local\Temp\Rar$EXa11008.10826\FanControl.sys (file missing)
O23 - Driver S3: WinDivert1.1 - C:\Windows\Temp\KMSAuto\bin\driver\x64WDV\WinDivert.sys (file missing)

Перезагрузите компьютер.

2. Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Volver]

А как пофиксить эти строки вообще?

 

[Volver]

А как пофиксить эти строки вообще?

Всё, нашёл, извиняюсь
Сейчас буду исправлять

 

[Sandor]

Будьте внимательны, инструкции обычно сопровождаются ссылками, где подробно всё расписано.

 

[Volver]

вот новые логи

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  C:\Users\Илья\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-3432373521-4177799052-1239206371-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  2024-05-06 21:46 - 2024-05-06 21:46 - 000000000 __SHD C:\Program Files\ReasonLabs
  2024-05-06 21:46 - 2024-05-06 21:46 - 000000000 __SHD C:\Program Files (x86)\Wise
  2024-05-06 21:45 - 2024-05-08 00:59 - 000000000 ____D C:\AdwCleaner
  2024-05-06 21:45 - 2024-05-08 00:20 - 000000000 ____D C:\ProgramData\Norton
  2024-05-06 21:45 - 2024-05-06 21:45 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  Unlock: C:\Users\Илья\OneDrive\Рабочий стол\AV_block_remover
  Unlock: C:\Users\Илья\OneDrive\Рабочий стол\AutoLogger
  AlternateDataStreams: C:\Users\Илья\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Илья\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{A5A1C393-EE8A-4E88-AC51-965E7596F7CD}] => (Allow) LPort=3306
  FirewallRules: [{3144994F-A46E-47D2-A67A-C9BCCEA6C5C1}] => (Allow) LPort=33060
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Volver]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  C:\Users\Илья\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-3432373521-4177799052-1239206371-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  2024-05-06 21:46 - 2024-05-06 21:46 - 000000000 __SHD C:\Program Files\ReasonLabs
  2024-05-06 21:46 - 2024-05-06 21:46 - 000000000 __SHD C:\Program Files (x86)\Wise
  2024-05-06 21:45 - 2024-05-08 00:59 - 000000000 ____D C:\AdwCleaner
  2024-05-06 21:45 - 2024-05-08 00:20 - 000000000 ____D C:\ProgramData\Norton
  2024-05-06 21:45 - 2024-05-06 21:45 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
  Unlock: C:\Users\Илья\OneDrive\Рабочий стол\AV_block_remover
  Unlock: C:\Users\Илья\OneDrive\Рабочий стол\AutoLogger
  AlternateDataStreams: C:\Users\Илья\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Илья\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{A5A1C393-EE8A-4E88-AC51-965E7596F7CD}] => (Allow) LPort=3306
  FirewallRules: [{3144994F-A46E-47D2-A67A-C9BCCEA6C5C1}] => (Allow) LPort=33060
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.