Форум программистов, компьютерный форум, киберфорум
Наши страницы

Лечение компьютерных вирусов

Войти
Регистрация
Восстановить пароль
 
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
#1

Нашел майнер маскирующийся под Realtek HD - Удаление вирусов

25.08.2016, 13:52. Просмотров 281. Ответов 7
Метки нет (Все метки)

Добрый день. Нашел у себя майнер, маскирующийся под процесс Realtek HD Audio. Он грузит проц на ~10%, а видюху на ~90%. При завершении процесса, всё стало на свои места. Файл находится по пути C:\Users\Provalov\AppData\Local\MFAData\Realtek HD. Антивирусы ничего не нашли (пробовал AVG и CureIt).
Заметил его, т.к. все производительные игры жутко лагали, но я думал, что дело в железе, т.к. уже прошло 3+ года с момента последнего апдейта.
0
Вложения
Тип файла: zip CollectionLog-2016.08.25-13.44.zip (120.2 Кб, 3 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
25.08.2016, 13:52
Здравствуйте! Я подобрал для вас темы с ответами на вопрос Нашел майнер маскирующийся под Realtek HD (Удаление вирусов):

Подхватил майнер маскирующийся под Realtek HD - Удаление вирусов
Здравствуйте. В общем-то стандартная ситуация, на днях стал замечать падение производительности процессора, компьютер стал работать заметно...

Майнер маскируется под Realtek HD Audio. Как вылечить комп? - Удаление вирусов
Недавно заметил, что комп начал виснуть. Поначалу думал, что проблема с охлаждением видюхи. Через Everest увидел, что какая-то мразь жрала...

Нашел папку Ethash, как удалить майнер? - Удаление вирусов
Вопрос в заголовке, начались фризы в приложениях разного рода, решил почистить диск ц. Нашел странную папку размером 5гб ethash,...

Realtek HD Audio (rthdcpl.exe) загрузка CPU и GPU. Майнер? - Удаление вирусов
Видел много похожих тем и в каждой сказано, что процедура лечения предназначена для конкретного пользователя, и если аналогичная проблема...

Вирус, маскирующийся под обновление Adobe Flash Player, блокирует доступ к ряду сайтов - Удаление вирусов
Здравствуйте! Проблема следующая: при попытке открыть некоторые сайты (youtube, google, facebook и т.д.) возникает всплывающее окно...

Вирус, маскирующийся под обновление Adobe Flash Player, блокирует доступ к сайтам на компьютере и телефоне - Удаление вирусов
Проблема в точности такая же, как описана здесь. За исключением того, что всплывающее окно "Warning! Your flash player may be out of date....

7
thyrex
Вирусоборец
7164 / 4765 / 710
Регистрация: 06.09.2009
Сообщений: 19,135
25.08.2016, 23:18 #2
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Provalov\AppData\Local\MFAData\Realtek HD\rthdcpl.exe','');
 DeleteFile('C:\Users\Provalov\AppData\Local\MFAData\Realtek HD\rthdcpl.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Realtek HD Audio','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
1
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
26.08.2016, 00:09  [ТС] #3
Спасибо. Вроде сработало, во всяком случае, этого процесса я больше не вижу и комп работает, как надо.
0
Вложения
Тип файла: zip CollectionLog-2016.08.26-00.07.zip (116.3 Кб, 1 просмотров)
thyrex
Вирусоборец
7164 / 4765 / 710
Регистрация: 06.09.2009
Сообщений: 19,135
26.08.2016, 01:03 #4
Скачайте Farbar Recovery Scan Tool http://i.imgur.com/NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
http://i.imgur.com/3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
0
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
26.08.2016, 12:55  [ТС] #5
Сделал
0
Вложения
Тип файла: rar FRST.rar (42.4 Кб, 1 просмотров)
thyrex
Вирусоборец
7164 / 4765 / 710
Регистрация: 06.09.2009
Сообщений: 19,135
26.08.2016, 14:06 #6
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR HKU\S-1-5-21-2427768328-1524561254-3950946353-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [151]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [151]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [114]
Task: {9FDF5E09-647E-400D-B640-029D6535E782} - \Realtek HD Audio -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
1
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
26.08.2016, 20:01  [ТС] #7
вот
0
Вложения
Тип файла: txt Fixlog.txt (2.2 Кб, 1 просмотров)
thyrex
Вирусоборец
7164 / 4765 / 710
Регистрация: 06.09.2009
Сообщений: 19,135
26.08.2016, 22:15 #8
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
0
26.08.2016, 22:15
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
26.08.2016, 22:15
Привет! Вот еще темы с ответами:

Что-то маскируется под системные процессы и грузит систему (подозреваю майнер) - Удаление вирусов
Доброго времени. Сегодня, после загрузки системы заметил, что все действия происходят с задержкой. Запустив диспетчер задач, увидел,...

Майнер - Удаление вирусов
Здравствуйте уважаемые форумчане, так случилось что нужно было кое-что проверить программой wireshark, и я случайно наткнулся на...

майнер - Удаление вирусов
всем привет, зацепил где-то вирус. В простое загружает видеокарту на 100%, или реже ЦП примерно на 50%, проверяю на MSI Afterburner. При...

Майнер - Удаление вирусов
В разных местах папки AppData стали появляться файлы ctfhost.exe. Брандмауэр Dr Web блокирует попытки доступа этих приложений в сеть, сам...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru