Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
1

Нашел майнер маскирующийся под Realtek HD

25.08.2016, 13:52. Просмотров 402. Ответов 7
Метки нет (Все метки)

Добрый день. Нашел у себя майнер, маскирующийся под процесс Realtek HD Audio. Он грузит проц на ~10%, а видюху на ~90%. При завершении процесса, всё стало на свои места. Файл находится по пути C:\Users\Provalov\AppData\Local\MFAData\Realtek HD. Антивирусы ничего не нашли (пробовал AVG и CureIt).
Заметил его, т.к. все производительные игры жутко лагали, но я думал, что дело в железе, т.к. уже прошло 3+ года с момента последнего апдейта.
0
Вложения
Тип файла: zip CollectionLog-2016.08.25-13.44.zip (120.2 Кб, 4 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
25.08.2016, 13:52
Ответы с готовыми решениями:

Подхватил майнер маскирующийся под Realtek HD
Здравствуйте. В общем-то стандартная ситуация, на днях стал замечать падение...

Майнер маскируется под Realtek HD Audio. Как вылечить комп?
Недавно заметил, что комп начал виснуть. Поначалу думал, что проблема с...

Нашел папку Ethash, как удалить майнер?
Вопрос в заголовке, начались фризы в приложениях разного рода, решил почистить...

Realtek HD Audio (rthdcpl.exe) загрузка CPU и GPU. Майнер?
Видел много похожих тем и в каждой сказано, что процедура лечения предназначена...

Вирус, маскирующийся под обновление Adobe Flash Player, блокирует доступ к ряду сайтов
Здравствуйте! Проблема следующая: при попытке открыть некоторые сайты (youtube,...

7
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
25.08.2016, 23:18 2
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Provalov\AppData\Local\MFAData\Realtek HD\rthdcpl.exe','');
 DeleteFile('C:\Users\Provalov\AppData\Local\MFAData\Realtek HD\rthdcpl.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Realtek HD Audio','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
1
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
26.08.2016, 00:09  [ТС] 3
Спасибо. Вроде сработало, во всяком случае, этого процесса я больше не вижу и комп работает, как надо.
0
Вложения
Тип файла: zip CollectionLog-2016.08.26-00.07.zip (116.3 Кб, 2 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
26.08.2016, 01:03 4
Скачайте Farbar Recovery Scan Tool http://i.imgur.com/NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
http://i.imgur.com/3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
0
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
26.08.2016, 12:55  [ТС] 5
Сделал
0
Вложения
Тип файла: rar FRST.rar (42.4 Кб, 2 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
26.08.2016, 14:06 6
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR HKU\S-1-5-21-2427768328-1524561254-3950946353-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [151]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [151]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [136]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [114]
Task: {9FDF5E09-647E-400D-B640-029D6535E782} - \Realtek HD Audio -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
1
ProV
0 / 0 / 0
Регистрация: 17.05.2015
Сообщений: 4
26.08.2016, 20:01  [ТС] 7
вот
0
Вложения
Тип файла: txt Fixlog.txt (2.2 Кб, 2 просмотров)
thyrex
Вирусоборец
7320 / 4876 / 760
Регистрация: 06.09.2009
Сообщений: 19,520
26.08.2016, 22:15 8
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
0
26.08.2016, 22:15
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
26.08.2016, 22:15

Вирус, маскирующийся под обновление Adobe Flash Player, блокирует доступ к сайтам на компьютере и телефоне
Проблема в точности такая же, как описана здесь. За исключением того, что...

Что-то маскируется под системные процессы и грузит систему (подозреваю майнер)
Доброго времени. Сегодня, после загрузки системы заметил, что все действия...

Драйвера для ATI и REALTEK под Windows 7?
ГДЕ ВЗЯТЬ ДРАВА ДЛЯ ATI И REALTEK ДЛЯ WINDOWS7???


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru