Решена Вирус маскируется под Realtek HD - что делать?

[lovikross]

Добрый вечер. Подхватил вирусняк при установке программы. Маскируется под Realtek HD в директории C:\ProgramData\RealtekHD и нагружает пк. Самой папки RealtekHD в ProgramData не видно. Только через диспетчер нахожу эту чудо папку. Пробовал удалить большим кол-вом антивирусников, ничего не помогло. Как быть? Заранее спасибо за ответ

 

[akok]

Добрый вечер. Начнем с логов

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...

www.safezone.cc

 

[lovikross]

Добрый вечер. Начнем с логов

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...

www.safezone.cc

Добрый вечер. Прошу прощение за столь поздний ответ. Сколько раз пробовал, никак не получилось.
Всё останавливается на этом этапе: Появится окошко, предупреждающее о запуске браузеров. Пожалуйста, после открытия браузеров сверните их в трей и не закрывайте до окончания сканирования.
После него появляется несколько раз ошибка драйверов видеокарты (AMD R7 370) и всё. Дальше не продвигается. Только в папке появилось два файла с report1.log и report2.log. Можете, пожалуйста, сказать, что я не так делаю? Заранее сяпки )

 

[akok]

Ладно, попробуем лекарство по внешним симптомам

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)

 

[lovikross]

Ладно, попробуем лекарство по внешним симптомам

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)

Распаковал архив и запустил AV_br.exe. Компьютер проработал более 6 часов. В файле AV_block_remover появилось только два файла: delminer.txt и taskhostw.exe. AV_block_remove.log отсутствует. совсем пал в печаль ((((((((((((((

 

[akok]

Он не должен столько работать. Запустите утилиту в безопасном режиме.

 

[lovikross]

Он не должен столько работать. Запустите утилиту в безопасном режиме.

К счастью в безопасном режиме нормально заработали скинутые вами программы. Снизу прикрепил результат программы AutoLogger и AV_br.exe. Так же хочу добавить, что текущий антивирус (Malwarebytes) показывал мне адрес подключения вируса до собственно самого отключения антивируса (плохо разбираюсь. Там было написано "порт" и ещё что-то). Сам вирус пропал из диспетчера задач и пк больше не нагружает. Слов нет, большое вам спасибо )))))))))))))). Вы просто сделали мой день.

 

[akok]

Автологер не отработал нормально. Дочистим так
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[lovikross]

Автологер не отработал нормально. Дочистим так
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  VirusTotal: C:\WINDOWS\SysWOW64\lastpass_1337.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {036B1DA0-7129-42A8-B341-AD781023FDA4} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {AA5C94C5-59FF-44E3-B7E3-12454DC39410} - System32\Tasks\V_k => C:\ProgramData\V_k_D_j\Vk_Dj.exe /H (Нет файла)
  Task: {C0FF95C1-6A88-48B6-9DCD-20DE7454CD7F} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [pkocadmokmpjeeaimigjpmfpdaighkga]
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  FirewallRules: [{FFF21DDD-B165-46F1-BAF6-2F3247103D21}] => (Block) LPort=445
  FirewallRules: [{0678D19A-53AF-4FD9-82FE-C44DEBC61A64}] => (Block) LPort=445
  FirewallRules: [{16A06566-6415-4AEC-B2EC-800BC27D9FDC}] => (Block) LPort=139
  FirewallRules: [{E67EDA4C-542B-452B-BBFD-977A530FD88F}] => (Block) LPort=139
  FirewallRules: [{6BDD7E35-5D7D-446F-8C35-5DA76B04E675}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[lovikross]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  VirusTotal: C:\WINDOWS\SysWOW64\lastpass_1337.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {036B1DA0-7129-42A8-B341-AD781023FDA4} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {AA5C94C5-59FF-44E3-B7E3-12454DC39410} - System32\Tasks\V_k => C:\ProgramData\V_k_D_j\Vk_Dj.exe /H (Нет файла)
  Task: {C0FF95C1-6A88-48B6-9DCD-20DE7454CD7F} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [pkocadmokmpjeeaimigjpmfpdaighkga]
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  FirewallRules: [{FFF21DDD-B165-46F1-BAF6-2F3247103D21}] => (Block) LPort=445
  FirewallRules: [{0678D19A-53AF-4FD9-82FE-C44DEBC61A64}] => (Block) LPort=445
  FirewallRules: [{16A06566-6415-4AEC-B2EC-800BC27D9FDC}] => (Block) LPort=139
  FirewallRules: [{E67EDA4C-542B-452B-BBFD-977A530FD88F}] => (Block) LPort=139
  FirewallRules: [{6BDD7E35-5D7D-446F-8C35-5DA76B04E675}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Проверяйте, что с проблемой, если все хорошо, то выдам рекомендации.

 

[lovikross]

Проверяйте, что с проблемой, если все хорошо, то выдам рекомендации.

После вашей помощи всё прекрасно. Спаситель. Можно где-то проставить оценку за оказанную помощь? С радостью бы ознакомился с рекомендациями. ))))))

 

[akok]

Тогда завершаем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Можно где-то проставить оценку за оказанную помощь? С радостью бы ознакомился с рекомендациями. ))))))

Вот