Процесс Realtek HD Audio загружает видеокарту и процессор на 40-60%

@Darknestar · Регистрация: 09.03.2017

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Не так давно заметил ухудшение производительности пк, и большую нагрузку на видеокарту и процессор. При просмотре исполняемых задач в диспетчере был замечен странный элемент Realtek HD audio (32 bit) который вел себя странно, нагружая процессор на 40-60%, при его закрытии все приходило в норму до следующего перезагруза.
Параметры системы Windows 10 64x, Intel core i5 -6402P, Ram 8 gb, nvidia gt630.
Логи проверял при закрытой задаче realtek.

@shestale · 10.03.2017, 07:27

C:\Users\Darknestar\AppData\Local\Discord\

Этот чат для геймеров сами устанавливали или в нагрузку с чем то прилетел?
+
Внимание! Рекомендации написаны специально для Darknestar. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\darknestar\appdata\local\windows_10_phone_activato\realtek hd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Darknestar\AppData\Local\Windows_10_Phone_Activato\Realtek HD\rthdcpl.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true);
 DeleteFile('C:\Users\Darknestar\AppData\Local\Windows_10_Phone_Activato\Realtek HD\rthdcpl.exe', '32');
 DeleteFileMask('c:\users\darknestar\appdata\local\windows_10_phone_activato\realtek hd', '*', true);
 DeleteDirectory('c:\users\darknestar\appdata\local\windows_10_phone_activato\realtek hd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!
Подготовьте лог AdwCleaner.

@Darknestar · 11.03.2017, 02:18 **[ТС]**

Спасибо за помощь. quarantine.zip отправил, лог с AdwCleaner прикрепил.

@shestale · 11.03.2017, 06:50

Сообщение от shestale

Этот чат для геймеров сами устанавливали или в нагрузку с чем то прилетел?

Не ответили на вопрос!!!
+
Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.

@Darknestar · 11.03.2017, 17:29 **[ТС]**

Discord это голосовой груповой чат, устанавливал сам и доп ПО с ним не шло. Лог прикрепил.

@shestale · 11.03.2017, 17:32

Подготовьте логи Farbar Recovery Scan Tool

@Darknestar · 11.03.2017, 17:53 **[ТС]**

Лог с FRST приклеплен, так же добавил лог за 1е сканирование

@shestale · 11.03.2017, 18:01

Выполните скрипт в Farbar Recovery Scan Tool
Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.

Windows Batch file

start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:8649A9B3 [117]
AlternateDataStreams: C:\Users\Darknestar\Cookies:0RECSLa8JcTnZVKZwRDA [2188]
AlternateDataStreams: C:\Users\Darknestar\AppData\Local\Temp:0iMncZE6LYpxcLQJh5ZGGyZzNG [2006]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8649A9B3 [117]
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2017-03-05 00:18 - 2017-03-05 00:18 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign7e2b057d24ec06f2
2017-03-05 00:18 - 2017-03-05 00:18 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign627831300bda4565
2017-03-05 00:18 - 2017-03-05 00:18 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign32c19e756e51e11b
2017-03-05 00:12 - 2017-03-05 00:12 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign6f6c9fb003f4c27f
2017-03-05 00:11 - 2017-03-05 00:11 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign83e89f0121dafaea
2017-03-05 00:11 - 2017-03-05 00:11 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign276da86da73dff6e
2017-03-05 00:11 - 2017-03-05 00:11 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign2704ce17c5c49d3c
2017-03-04 23:33 - 2017-03-04 23:33 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign9ec940c19a18d538
2017-03-04 23:33 - 2017-03-04 23:33 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign9134a0172eb68022
2017-03-04 23:31 - 2017-03-04 23:31 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsignbde2be50ae889054
2017-03-04 23:22 - 2017-03-04 23:22 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign91af1273b08eb759
2017-03-04 23:20 - 2017-03-04 23:20 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign1996ab75d92ad841
2017-03-04 23:19 - 2017-03-04 23:19 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsigne2e237fb9f9d6b0c
2017-03-04 23:19 - 2017-03-04 23:19 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign7270b2b100647603
2017-03-04 23:19 - 2017-03-04 23:19 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign3cff4adcdb0169c8
2017-03-04 23:07 - 2017-03-04 23:07 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign2dfc8b91ec66a576
2017-03-04 23:06 - 2017-03-04 23:06 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign80355ffc5f07b8c1
2017-03-04 23:06 - 2017-03-04 23:06 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign6b3994a071116597
2017-03-04 23:06 - 2017-03-04 23:06 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign588c6fb199d57e97
2017-02-19 19:39 - 2017-02-19 19:39 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsignad532fbb69ffd026
2017-02-19 19:38 - 2017-02-19 19:38 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsigndfb395379abdaa4b
2017-02-19 19:38 - 2017-02-19 19:38 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign958494fc68c814f6
2017-02-19 19:38 - 2017-02-19 19:38 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign2d0638c9af2be038
2017-02-19 19:38 - 2017-02-19 19:38 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign0c70c82ec2c3f208
2017-02-19 19:36 - 2017-02-19 19:36 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsigna4e25a65ce41edbe
2017-02-19 19:36 - 2017-02-19 19:36 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign8d053ae0aae3a54e
2017-02-19 19:36 - 2017-02-19 19:36 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign0ff9b85370eaea71
2017-02-19 19:35 - 2017-02-19 19:35 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsignf4f1f1cd2f7398e8
2017-02-19 19:35 - 2017-02-19 19:35 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsignd786fac11c676e6d
2017-02-19 19:34 - 2017-02-19 19:34 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign7cfd36bfa15e8d5a
2017-02-19 19:34 - 2017-02-19 19:34 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign28bd74fccbe5be79
2017-02-19 19:33 - 2017-02-19 19:33 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsignc80c21a3aed1045c
2017-02-19 19:33 - 2017-02-19 19:33 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsignc1fe6814f8c3d57f
2017-02-19 19:33 - 2017-02-19 19:33 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign5cf496366d0d9521
2017-02-19 19:33 - 2017-02-19 19:33 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign2bd6f50b3014a9b3
2017-02-19 19:22 - 2017-02-19 19:22 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsignf75012052245290d
2017-02-19 19:22 - 2017-02-19 19:22 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign916258150f0f1444
2017-02-19 19:16 - 2017-02-19 19:16 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign989917182190207f
2017-02-19 19:16 - 2017-02-19 19:16 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign2a27f1695b150f0b
2017-02-19 19:15 - 2017-02-19 19:15 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign5779d38ea685fb8a
2017-02-19 19:15 - 2017-02-19 19:15 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign45405fd8fd3b157f
2017-02-19 19:15 - 2017-02-19 19:15 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign126f370f922a3476
2017-02-19 19:14 - 2017-02-19 19:14 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign357eade45ca6c6c0
2017-02-19 19:14 - 2017-02-19 19:14 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign141a7dbf59beb7b4
2017-02-19 19:13 - 2017-02-19 19:13 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign8189e4e357998c01
2017-02-19 19:13 - 2017-02-19 19:13 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign1ab3fcd3c777f428
2017-02-19 17:09 - 2017-02-19 17:09 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign4a05e89187c9292f
2017-02-19 17:09 - 2017-02-19 17:09 - 00000000 ____D C:\Users\Darknestar\AppData\Local\Tempzxpsign292796e09c22fd3e
2017-02-19 18:31 - 2015-05-23 11:03 - 00000000 ___HD C:\Users\Darknestar\AppData\Local\TL4CvBQbCmkXRLU
EmptyTemp:
Reboot:
end

Что с проблемой?

@Darknestar · 11.03.2017, 18:19 **[ТС]**

Скрипт выполнил, лог прикрепил. Проблема решена, Спасибо.

@shestale · 12.03.2017, 06:05

Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@Darknestar · 13.03.2017, 16:25 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16]
WebSite: www.safezone.cc
DateLog: 13.03.2017 15:20:05
Path starting: C:\Users\Darknestar\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Darknestar
VersionXML: 3.53s-23.11.2016
___________________________________________________________________________

Windows 10(6.3.14393) (x64) EnterpriseS Lang: Russian(0419)
Дата установки ОС: 26.10.2016 20:45:20
Статус лицензии: Windows(R), EnterpriseS edition Срок истечения многопользовательской активации: 61094 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [465.7 Гб] Занято: [83.9 Гб] Свободно: [381.8 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.576.14393.0 [+]
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^

Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Учетная запись гостя включена. Пароль не установлен.
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 (x64) v.16.04
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.24.0.0.180 [+]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.56.0.2924.87 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Advanced SystemCare 10 v.10.2.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 4.0 v.4.0.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
IObit Uninstaller v.6.2.0.940 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@shestale · 13.03.2017, 17:32

Закрывайте уязвимости.
+
Выполните рекомендации после удаления вредоносного ПО

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	11.03.2017, 06:50	4
	Сообщение от shestale Этот чат для геймеров сами устанавливали или в нагрузку с чем то прилетел? Не ответили на вопрос!!! + Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	11.03.2017, 17:32	6
	Подготовьте логи Farbar Recovery Scan Tool 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	12.03.2017, 06:05	10
	Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24 Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ. Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0

@Darknestar 0 / 0 / 0 Регистрация: 09.03.2017 Сообщений: 8
	13.03.2017, 16:25 [ТС]	11
	SecurityCheck by glax24 & Severnyj v.1.4.0.46 [22.09.16] WebSite: www.safezone.cc DateLog: 13.03.2017 15:20:05 Path starting: C:\Users\Darknestar\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Darknestar VersionXML: 3.53s-23.11.2016 ___________________________________________________________________________ Windows 10(6.3.14393) (x64) EnterpriseS Lang: Russian(0419) Дата установки ОС: 26.10.2016 20:45:20 Статус лицензии: Windows(R), EnterpriseS edition Срок истечения многопользовательской активации: 61094 мин. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [465.7 Гб] Занято: [83.9 Гб] Свободно: [381.8 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.576.14393.0 [+] Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба остановлена Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена Учетная запись гостя включена. Пароль не установлен. --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 16.04 (x64) v.16.04 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.24.0.0.180 [+] ------------------------------- [ Browser ] ------------------------------- Google Chrome v.56.0.2924.87 [+] ------------------ [ AntivirusFirewallProcessServices ] ------------------- Служба Защитника Windows (WinDefend) - Служба остановлена Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена ---------------------------- [ UnwantedApps ] ----------------------------- Advanced SystemCare 10 v.10.2.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Driver Booster 4.0 v.4.0.4 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. IObit Uninstaller v.6.2.0.940 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.03.2017, 17:32	12
	Закрывайте уязвимости. + Выполните рекомендации после удаления вредоносного ПО 0