Решена Вирус Realtek HD блокирует доступ к program data и диспетчеру задач

KennyStan

Новый пользователь
Сообщения
14
Реакции
1
Здравствуйте, не могу открыть programm data, скачал Farbar Recovery Scan Tool, вот записи
 

Вложения

  • Addition.txt
    107.6 KB · Просмотры: 2
  • FRST.txt
    76.9 KB · Просмотры: 2
Скачайте, распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
 
При запуске вылетает ошибка: установите новую версию, хотя скачал последнюю, также при переходе на ссылку AV block remover выключается браузер
 
И скачать можно и на другом компьютере или с телефона.
 
Скачал просто AVZ
 

Вложения

  • avz_log.txt
    9.1 KB · Просмотры: 1
del скачива отсюда, вот лог
 

Вложения

  • AV_block_remove_2023.05.24-10.42.log
    341 байт · Просмотры: 2
Последнее редактирование модератором:
Там откуда вы скачали лежит версия от прошлого года
Last update was on: 2022.08.27
При чём если бы даже она запустилась, то толку было бы мало ибо майнер постоянно обновляется. Вот перезалил актуальную Быстрый обмен файлами
 
спасибо, это работало нормально
 
спасибо, это работало нормально
Нет, не отработала. Либо вы не дождались пока 20 сек. пройдёт о чём там просило, либо вирус её закрыл. Если она сама закрывается после этого, то попробуйте запустить в безопасном режиме с поддержкой сети.
 
Вроде готово
 

Вложения

  • AV_block_remove_2023.05.24-11.37.log
    6.1 KB · Просмотры: 7
Надеюсь сделал все правильно
 

Вложения

  • CollectionLog-2023.05.24-11.53.zip
    95.5 KB · Просмотры: 3
Что качали/устанавливали из вареза? Поищите ссылку и отправьте мне в лс.
 
Вот как раз через игру с торрента скорее всего заразу и подхватили.
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\Microsoft\yttgg\script.bat', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\unsecapp.exe', '');
 DeleteFile('C:\Programdata\Microsoft\yttgg\script.bat', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\Windows\SysWOW64\unsecapp.exe', '64');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalA\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\GlobalData');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SystemManager');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
 ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [Steam] = D:\ Steam\steam.exe -silent (file missing)
O4 - HKCU\..\StartupApproved\Run: [YandexBrowserAutoLaunch_EB3E2E35B88C8A18D33CFDE41B2483FE] = C:\Users\PC\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --shutdown-if-not-closed-by-system-restart (file missing) (2023/05/20)
O7 - AppLocker: (Allow) [AppX] [Publisher] *
O7 - AppLocker: (Allow) [Executable] [Path] %PROGRAMFILES%\*
O7 - AppLocker: (Allow) [Executable] [Path] %WINDIR%\*
O7 - AppLocker: (Allow) [Executable] [Path] *
O7 - AppLocker: (Allow) [Executable] [Path] *
O7 - AppLocker: (Allow) [Installer] [Path] %WINDIR%\Installer\*
O7 - AppLocker: (Allow) [Installer] [Path] *.*
O7 - AppLocker: (Allow) [Installer] [Publisher] *
O7 - AppLocker: (Allow) [Script] [Path] %OSDRIVE%\*
O7 - AppLocker: (Allow) [Script] [Path] %PROGRAMFILES%\*
O7 - AppLocker: (Allow) [Script] [Path] %WINDIR%\*
O7 - AppLocker: (Allow) [Script] [Path] *
O7 - AppLocker: (Deny) [Executable] [Hash] 0tIlzz.exe (Size: 9248139) - 0xfc623e48c758afd9d7abd2e180e2672b5af90482d58c18d9ed8b5860d9a5e90e
O7 - AppLocker: (Deny) [Executable] [Hash] 1AVbr.exe (Size: 9057467) - 0x7add7093ab708d7e8a1231cb553c27f8f3780531ed34bb8982c4b252114bc24d
O7 - AppLocker: (Deny) [Executable] [Hash] AutoLogger.exe (Size: 16713268) - 0x62fe663c4b54c627b0249e19ba70b67821559c9bc977b20a2f1145e2add2c3d8
O7 - AppLocker: (Deny) [Executable] [Hash] AVbr.exe (Size: 9254827) - 0x6d05135951d6d4904df42ab73047174e7d42eb5da74cf4742708d6e7a46c94f0
O7 - AppLocker: (Deny) [Executable] [Hash] avz.exe (Size: 794624) - 0xbc7b5245b6976be2578fae4b693e9578118253e564e62b2da04e2d5514eb490f
O7 - AppLocker: (Deny) [Executable] [Hash] ComboFix.exe (Size: 5659583) - 0xcdc83269d90eb7fd908dd5805ab89bb5938c51c2a2cfec4611bbd2acebdcd511
O7 - AppLocker: (Deny) [Executable] [Hash] FRST.exe (Size: 2073600) - 0x57b21ad6b06d866a016ad639b01ecfb447c11664f1156efc85ad2760753ae409
O7 - AppLocker: (Deny) [Executable] [Hash] FSS.exe (Size: 958976) - 0x33c2a1d527d98c1888a2bf3388e667b02975ee3acc16ea392627a61410a4f1fb
O7 - AppLocker: (Deny) [Executable] [Hash] HijackThis.exe (Size: 388608) - 0x399a6288f737f0bb4c765021a7e793b9a7cf013ab47c46fe2919ffff0dcda847
O7 - AppLocker: (Deny) [Executable] [Hash] MBSetup.exe (Size: 2556344) - 0xb7fd9c28b9f193577e895b6032be5211f788dfb255768895e1ef6793b28b5684
O7 - AppLocker: (Deny) [Executable] [Hash] mcafee_trial_setup_433.0207.3919_key.exe (Size: 5891472) - 0xb685e0cf016014a3f940789cc0e3948d5c29be8f67031f282bbda2c9b41e2b98
O7 - AppLocker: (Deny) [Executable] [Hash] RSIT.exe (Size: 1107968) - 0x1b88e94654078ae830c5c111a32a998c93475e07a0ac68f8cb3ba81b44d69419
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ADAWARE SOFTWARE (LAVASOFT SOFTWARE CANADA INC.), L=MONTREAL, S=QUEBEC, C=CA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ADLICE, S=LOIRE-ATLANTIQUE, C=FR
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AHNLAB, INC., L=SEONGNAM-SI, S=GYEONGGI-DO, C=KR
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ALLIT SERVICE, LLC., L=KYIV, S=KYIVSKA, C=UA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AO KASPERSKY LAB, L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AUSLOGICS LABS PTY LTD, L=SYDNEY, S=NEW SOUTH WALES, C=AU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AVAST SOFTWARE S.R.O., L=PRAHA, C=CZ
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AVG TECHNOLOGIES USA, LLC, L=NEWTON, S=NORTH CAROLINA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=AVIRA OPERATIONS GMBH, L=TETTNANG, S=BADEN-WÜRTTEMBERG, C=DE
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BEIJING HUORONG NETWORK TECHNOLOGY CO., LTD., L=BEIJING SHI, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BEIJING QIHU TECHNOLOGY CO., LTD., S=BEIJING, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BITDEFENDER SRL, L=BUCHAREST, C=RO
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BLEEPING COMPUTER, LLC., L=HUNTINGTON STATION, S=NEW YORK, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=BULLGUARD LTD., L=LONDON, S=LONDON, C=GB
O7 - AppLocker: (Deny) [Executable] [Publisher] O=CEZURITY LLC, L=SAINT PETERSBURG, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=COMODO SECURITY SOLUTIONS, INC., L=CLIFTON, S=NJ, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=DOCTOR WEB LTD., L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=EMSISOFT (EMSISOFT LIMITED), S=NELSON, C=NZ
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ENIGMASOFT LIMITED, L=DUBLIN 2, C=IE
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ESET, SPOL. S R.O., L=BRATISLAVA, C=SK
O7 - AppLocker: (Deny) [Executable] [Publisher] O=GLARYSOFT LTD, S=BEIJING, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=GRIDINSOFT, LLC, L=KYIV, C=UA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=GRIDINSOFT, LLC, L=KYIV, C=UA
O7 - AppLocker: (Deny) [Executable] [Publisher] O=IOBIT CO., LTD, L=CHENGDU, S=SICHUAN, C=CN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=KASPERSKY LAB JSC, L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=KASPERSKY LAB, L=MOSCOW, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES CORPORATION, L=SANTA CLARA, S=CA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES INC, L=SANTA CLARA, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES INC., S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MALWAREBYTES INC., S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MCAFEE, LLC, L=SAN JOSE, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=MICROWORLD TECHNOLOGIES INC., L=NOVI, S=MICHIGAN, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=NANO SECURITY LLC, L=BRYANSK, S=BRYANSK OBLAST, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=NORTONLIFELOCK INC., L=TEMPE, S=ARIZONA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=OOO &quot;GREATIS SOFTVARYA&quot;, L=YAROSLAVL, S=YAROSLAVSKAYA OBLAST, C=RU
O7 - AppLocker: (Deny) [Executable] [Publisher] O=PANDA SECURITY S.L., L=BILBAO, S=BASQUE COUNTRY, C=ES
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SIMPLY SUPER SOFTWARE, L=NUNEATON, S=WARWICKSHIRE, C=GB
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SOPHOS LTD, L=ABINGDON, C=GB
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SUPPORT.COM, INC., L=LOS ANGELES, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SURFRIGHT B.V., L=HENGELO, C=NL
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SYMANTEC CORPORATION, L=MOUNTAIN VIEW, S=CALIFORNIA, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=SYSTWEAK SOFTWARE, L=JAIPUR, S=RAJASTHAN, C=IN
O7 - AppLocker: (Deny) [Executable] [Publisher] O=TREND MICRO, INC., S=TAIPEI, C=TW
O7 - AppLocker: (Deny) [Executable] [Publisher] O=WEBROOT, L=BROOMFIELD, S=COLORADO, C=US
O7 - AppLocker: (Deny) [Executable] [Publisher] O=ZEMANA D.O.O. SARAJEVO, L=SARAJEVO, C=BA
O7 - AppLocker: Fix all (including policies)
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Доброе утро!
 

Вложения

  • Addition.txt
    99.5 KB · Просмотры: 1
  • FRST.txt
    63.6 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {D85151CA-682C-46AE-B547-45EEA0B9F168} - \Microsoft\Windows\WindowsBackup\FilesBackUP -> Нет файла <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    2023-05-15 01:22 - 2023-05-15 01:22 - 000000000 __SHD C:\Users\PC\Downloads\AV_block_remover
    2023-05-15 01:22 - 2023-05-15 01:22 - 000000000 __SHD C:\Users\PC\Desktop\AV_block_remover
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10476]
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [94]
    AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
    FirewallRules: [{C4E08A89-E91D-4A63-9730-BC2954F0A41B}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{950B9789-C0BB-4ABA-8375-229C3CC8FDF8}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{4312B5E1-0FAA-4C04-B300-7CD3171D82B6}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => Нет файла
    FirewallRules: [{AA1646BC-FCD5-46DC-BDB9-29143F7BC24A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{08E2602E-D68D-473E-A6E3-8D61003EA018}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{5AB025A6-5640-4A45-84A5-51305E3626DC}] => (Allow) LPort=9393
    FirewallRules: [{C14A97F5-59D9-4CEC-A059-CAE116B05512}] => (Allow) LPort=9494
    FirewallRules: [{5526DF46-F3A1-4128-84E1-1B94BAD4FEF7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{E2C14693-7755-4BF0-B182-37C15BFED6CC}] => (Allow) LPort=9494
    FirewallRules: [{B762897C-2DF7-4476-A3CE-731DD0651316}] => (Allow) LPort=9393
    FirewallRules: [{12BCB689-36DE-4E93-9C49-D196BD97D852}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{B82373E7-3667-4DD7-B083-49C69EB06919}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{BF8510A6-8080-4AB3-91AF-68EDF9B9435B}] => (Block) LPort=445
    FirewallRules: [{0654E997-015A-4995-B929-6104B819793E}] => (Block) LPort=445
    FirewallRules: [{F14B1425-6687-4E60-94A9-26C9E3D63195}] => (Block) LPort=139
    FirewallRules: [{514B7AF4-42D8-48F7-85E5-F24242642859}] => (Block) LPort=139
    FirewallRules: [{997E176F-BDDA-4418-B339-27C7D85BB658}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    FirewallRules: [{B6D01627-148F-4D9B-875E-77B7A9A2C768}] => (Allow) LPort=3389
    FirewallRules: [{2AB619C7-C002-49D9-91AF-9FD366F3DE89}] => (Allow) LPort=80
    FirewallRules: [{A4C28DD6-97D8-48A3-A1FE-0CCCE682BD55}] => (Allow) LPort=443
    FirewallRules: [{919E48FB-4EFE-416E-B099-1AC0F4EBA687}] => (Allow) LPort=20010
    FirewallRules: [{2B877A05-D84C-4A9D-B7FC-CF6D36E4489C}] => (Allow) LPort=3478
    FirewallRules: [{EF118027-631B-4E3D-A5E8-079281EF1D15}] => (Allow) LPort=7850
    FirewallRules: [{4DA83BBE-034C-488E-A2AF-054A15E95F8C}] => (Allow) LPort=7852
    FirewallRules: [{9E89BCA4-9FE5-4BFB-8348-269368B70609}] => (Allow) LPort=7853
    FirewallRules: [{E9281561-F077-42D0-A904-8479E5E3CB89}] => (Allow) LPort=27022
    FirewallRules: [{3F4092E5-A17C-4335-934E-BCC32011249A}] => (Allow) LPort=6881
    FirewallRules: [{6B40637A-3FA1-486D-8ACB-F649D0EE1FA4}] => (Allow) LPort=33333
    FirewallRules: [{2405E66E-7ECA-4C57-B2B5-1E709459B721}] => (Allow) LPort=20443
    FirewallRules: [{7704BAAE-350B-477B-964F-E7A6B01B4EF6}] => (Allow) LPort=8090
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Назад
Сверху Снизу