Подхватил Blake256

@ToTToPxD · Регистрация: 02.04.2016

Author24 — интернет-сервис помощи студентам

Доброго времени суток.

Буквально пару-тройку дней назад, появилась проблема в играх: упала частота кадров на 50-60 процентов. Бродя по интернету пришел к такому выводу: Либо моя видеокарта нагревается из-за сильного загрязнения (что мало вероятно, чистил недавно все железо), либо у меня вирус.

Скачал Касперского проверил весь ПК и... ничего! Но, как оказалось проблема все таки связана с видеокартой. В простое температура достигала 50С. Начал копаться во всем! В диспетчере нашел процесс "Realtek HD Audio*32bit", который собственно нагружал ЦП на 30-40 процентов и нагружал видеокарту, поднимая ей температуру. Через диспетчер, вышел на конечную папку и нашел там это (прикрепляю скриншот).

Оказалось, что виной всему Blake256. Поискав в интернете, понял что он как то связан с биткоинами. Он, каким-то образом загружался в систему используя "Realtek HD Audio*32bit" и использовал ЦП и ГПУ для своей работы, что приводило к перегреву видеокарты. Сильного влияния на ЦП не увидел, кроме как загрузки его. При отключении его в диспетчере, температура падает, а сам процесс начинает свою работу через некоторое время после перезагрузки или выкл-вкл системы. Касперский не видит в нем угрозы. Так, как сам в этом мало понимаю, нашел вас и надеюсь на вашу помощь.

Заранее спасибо за ответ.

@thyrex · 03.04.2016, 09:50

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Derpotator\AppData\Roaming\Microsoft\Realtek HD\rthdcpl.exe','');
 QuarantineFile('C:\WINDOWS\winstart.bat','');
 DeleteFile('C:\WINDOWS\winstart.bat','32');
 DeleteFile('C:\Users\Derpotator\AppData\Roaming\Microsoft\Realtek HD\rthdcpl.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Realtek HD Audio','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@ToTToPxD · 03.04.2016, 11:59 **[ТС]**

Новые логи.

@thyrex · 03.04.2016, 14:03

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@ToTToPxD · 03.04.2016, 15:20 **[ТС]**

Вот они.

@thyrex · 03.04.2016, 15:34

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
OPR Extension: (Browsec) - C:\Users\Derpotator\AppData\Roaming\Opera Software\Opera Stable\Extensions\dknfpcdpbkjijldegonllfnnfhabjpde [2015-12-10]
Task: {5CB6438C-34D5-44F0-9F34-028578BDF705} - \Realtek HD Audio -> No File <==== ATTENTION
C:\Users\Derpotator\AppData\Roaming\Microsoft\Realtek HD
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

Проблема решенА?

@ToTToPxD · 03.04.2016, 16:20 **[ТС]**

Видимо помогло) Папка по пути "C:\Users\Derpotator\AppData\Roaming\Microsoft\Realtek HD" исчезла. Вроде бы, в процессах он не появляется пока что... Температура в норме. Прикрепляю лог.

@thyrex · 03.04.2016, 17:31

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Скопируйте содержимое файла в свое следующее сообщение.

@ToTToPxD · 03.04.2016, 18:14 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.37 [05.03.16]
WebSite: www.safezone.cc
DateLog: 03.04.2016 18:11:08
Path starting: C:\Users\Derpotator\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Derpotator
VersionXML: 2.66is-29.03.2016
___________________________________________________________________________

Windows 10(6.3.10240) (x64) Professional Lang: Russian(0419)
Дата установки ОС: 17.07.2015 01:52:41
Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [232.3 Гб] Занято: [58.2 Гб] Свободно: [174.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.10240.16724 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Internet Security (выключен и обновлен)
Windows Defender (отключен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Internet Security (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (выключен и обновлен)
Windows Defender (отключен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Internet Security v.16.0.0.614
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.12 v.7.12.101 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.5 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 21 PPAPI v.21.0.0.197
Adobe Reader XI (11.0.15) - Russian v.11.0.15
------------------------------- [ Browser ] -------------------------------
Google Chrome v.49.0.2623.110
Opera Stable 36.0.2130.46 v.36.0.2130.46 [+]
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.49.0.2623.110
C:\Program Files\Windows Defender\MSASCui.exe v.4.8.10240.16384
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics BoostSpeed Premium 7.5.0.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@thyrex · 03.04.2016, 20:02

Выполните рекомендованное + Рекомендации после удаления вредоносного ПО

@ToTToPxD · 03.04.2016, 20:38 **[ТС]**

Уже проделал) Думаю, тему можно "заморозить", может у кого еще такая проблема возникнет. Большое спасибо.

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.04.2016, 09:50	2
	Выполните скрипт в AVZ Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Derpotator\AppData\Roaming\Microsoft\Realtek HD\rthdcpl.exe',''); QuarantineFile('C:\WINDOWS\winstart.bat',''); DeleteFile('C:\WINDOWS\winstart.bat','32'); DeleteFile('C:\Users\Derpotator\AppData\Roaming\Microsoft\Realtek HD\rthdcpl.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\Realtek HD Audio','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ Код begin CreateQurantineArchive('c:\quarantine.zip'); end. Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!! Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.04.2016, 14:03	4
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.04.2016, 15:34	6
	1. Откройте Блокнот и скопируйте в него приведенный ниже текст Код CreateRestorePoint: OPR Extension: (Browsec) - C:\Users\Derpotator\AppData\Roaming\Opera Software\Opera Stable\Extensions\dknfpcdpbkjijldegonllfnnfhabjpde [2015-12-10] Task: {5CB6438C-34D5-44F0-9F34-028578BDF705} - \Realtek HD Audio -> No File <==== ATTENTION C:\Users\Derpotator\AppData\Roaming\Microsoft\Realtek HD Reboot: 2. Нажмите Файл – Сохранить как 3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – *Все файлы (.)* 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Проблема решенА? 1

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.04.2016, 17:31	8
	Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Скопируйте содержимое файла в свое следующее сообщение. 1

@ToTToPxD 0 / 0 / 0 Регистрация: 02.04.2016 Сообщений: 6
	03.04.2016, 18:14 [ТС]	9
	SecurityCheck by glax24 & Severnyj v.1.4.0.37 [05.03.16] WebSite: www.safezone.cc DateLog: 03.04.2016 18:11:08 Path starting: C:\Users\Derpotator\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Derpotator VersionXML: 2.66is-29.03.2016 ___________________________________________________________________________ Windows 10(6.3.10240) (x64) Professional Lang: Russian(0419) Дата установки ОС: 17.07.2015 01:52:41 Статус лицензии: Windows(R), Professional edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [232.3 Гб] Занято: [58.2 Гб] Свободно: [174.1 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.10240.16724 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ---------------------------- [ Antivirus_WMI ] ---------------------------- Kaspersky Internet Security (выключен и обновлен) Windows Defender (отключен) ---------------------------- [ Firewall_WMI ] ----------------------------- Kaspersky Internet Security (отключен) --------------------------- [ AntiSpyware_WMI ] --------------------------- Kaspersky Internet Security (выключен и обновлен) Windows Defender (отключен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Kaspersky Internet Security v.16.0.0.614 --------------------------------- [ IM ] ---------------------------------- Skype™ 7.12 v.7.12.101 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.1.8.5 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 21 PPAPI v.21.0.0.197 Adobe Reader XI (11.0.15) - Russian v.11.0.15 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.49.0.2623.110 Opera Stable 36.0.2130.46 v.36.0.2130.46 [+] --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.49.0.2623.110 C:\Program Files\Windows Defender\MSASCui.exe v.4.8.10240.16384 ---------------------------- [ UnwantedApps ] ----------------------------- Auslogics BoostSpeed Premium 7.5.0.0 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	03.04.2016, 20:02	10
	Выполните рекомендованное + Рекомендации после удаления вредоносного ПО 1

@ToTToPxD 0 / 0 / 0 Регистрация: 02.04.2016 Сообщений: 6
	03.04.2016, 20:38 [ТС]	11
	Уже проделал) Думаю, тему можно "заморозить", может у кого еще такая проблема возникнет. Большое спасибо. 0