Решена вирус realtekHD taskhostw

dsadqwed · 30 Авг 2023

Не открывается папка Programdata, сайты антивирусов, сами антивирусы. Автологер, AV Block и т.п открываются только в безопасном режиме. Через диспетчер отключить Realtek не получается. памагите!!1 плз

akok · 30 Авг 2023

В безопасном. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\82SJxWHd0uzeoI\Game.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\82SJxWHd0uzeoI\MasterDataK.bat', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\DRM\82SJxWHd0uzeoI\MasterDataK.bat', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataK\82SJxWHd0uzeoI');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataK\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\MasterDataK\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{82B52682-0E8B-475D-BBA0-D58CC7DBB53F} - \Microsoft\Windows\WindowsBackup\DataBase (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A33C6209-22F1-46A9-A84E-C2622EA6DD05} - \Microsoft\Windows\Wininet\winser (no xml)

После в обычном режиме
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

dsadqwed · 30 Авг 2023

quarantine.7z отправил на почту

akok · 30 Авг 2023

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
Task: {1F861063-38C0-4EAE-8315-B2888E9F2224} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
Task: {37871A1F-CDA3-4047-806C-948B2C79013A} - System32\Tasks\Driver Booster SkipUAC (pogor) => "E:\Driver Booster\10.6.0\DriverBooster.exe"  /skipuac (Нет файла)
Task: {04CEE8F5-87E2-4282-8403-0EF0B54877BA} - System32\Tasks\Driver Booster Update => "E:\Driver Booster\10.6.0\AutoUpdate.exe"  /auto (Нет файла)
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files\Transmission
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files\SUPERAntiSpyware
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files\Process Hacker 2
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\Transmission
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\SpeedFan
2023-08-30 01:28 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\Moo0
2023-08-30 01:27 - 2023-08-30 01:28 - 000000000 __SHD C:\Program Files (x86)\IObit
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Users\pogor\Downloads\AV_block_remover
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Users\pogor\Downloads\AutoLogger
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\WavePad
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Norton
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\McAfee
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\grizzly
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Evernote
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\ESET
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\BookManager
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\AVAST Software
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\360safe
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\SpyHunter
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Rainmeter
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Process Lasso
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Malwarebytes
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\HitmanPro
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\ESET
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\DrWeb
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\COMODO
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Cezurity
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\AVG
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files\AVAST Software
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\AVG
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\Program Files (x86)\360
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\KVRT2020_Data
2023-08-30 01:27 - 2023-08-30 01:27 - 000000000 __SHD C:\KVRT_Data
2023-08-30 01:26 - 2023-08-30 13:46 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-08-30 01:26 - 2023-08-30 13:46 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-08-30 01:26 - 2023-08-30 01:27 - 000000000 __SHD C:\ProgramData\Setup
2023-08-30 01:27 C:\Users\pogor\Downloads\AutoLogger
2023-08-30 01:27 C:\Users\pogor\Downloads\AV_block_remover
FirewallRules: [TCP Query User{D9E133AF-7CA2-44D8-A925-A7C31E72EF36}E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe] => (Allow) E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe => Нет файла
FirewallRules: [UDP Query User{4CE73623-A4BC-499B-801C-1B4B00667FAE}E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe] => (Allow) E:\пфф\the texas chain saw massacre - pc edition\content\bbqgame\binaries\wingdk\bbqclient-wingdk-shipping.exe => Нет файла
FirewallRules: [{7B530F15-470A-48B4-BB5C-0160AF57AC1A}] => (Allow) C:\Users\pogor\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{FA5D1D38-7D51-4926-AA83-0E5CD2EF27EC}] => (Allow) C:\Users\pogor\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

dsadqwed · 30 Авг 2023

dsadqwed · 30 Авг 2023

вроде бы ушла проблема но не до конца. я все так же не могу зайти на сайты c антивирусами. но могу зайти в програмдата

akok · 30 Авг 2023

И это поправим
Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

dsadqwed · 30 Авг 2023

вот

thyrex · 30 Авг 2023

Не дождались окончания работы, переделывайте.

dsadqwed · 30 Авг 2023

thyrex · 30 Авг 2023

Ситуация с доступом к сайтам исправилась?

dsadqwed · 30 Авг 2023

все исправилось.спасибо большое

akok · 30 Авг 2023

Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Решена вирус realtekHD taskhostw

dsadqwed

Новый пользователь

Вложения

akok

dsadqwed

Новый пользователь

Вложения

akok

dsadqwed

Новый пользователь

Вложения

dsadqwed

Новый пользователь

akok

dsadqwed

Новый пользователь

Вложения

thyrex

dsadqwed

Новый пользователь

Вложения

thyrex

dsadqwed

Новый пользователь

akok