Вирус маскируется под аудиодрайвер

@BreninSul · Регистрация: 20.05.2016

Добрый вечер! У меня появилась не раз описанная на форуме проблема с вирусом майнером, маскирующимся под драйдер Realtek ( например Процесс Realtek HD Audio загружает видеокарту и процессор на 30-50%). После загрузки ПК, через некторое время идёт полна загрузка одного ядра и видеокарты. Во всех случаях людям даются конкретные скрипты. Т.к AVZ сам не хочет всё удалять, прошу помощи с написанием этого самого скриптов. Заранее благодарю.

@BreninSul · 20.05.2016, 23:54 **[ТС]**

Вот карантин AVZ и его лог

@Sandor · 22.05.2016, 14:30

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя BreninSul. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
__________________________________________________ ____

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\breninsul\appdata\local\steam\realtek hd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\BreninSul\AppData\Local\Steam\Realtek HD\rthdcpl.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true);
 DeleteFile('C:\Users\BreninSul\AppData\Local\Steam\Realtek HD\rthdcpl.exe', '32');
 DeleteFileMask('c:\users\breninsul\appdata\local\steam\realtek hd', '*', true);
 DeleteDirectory('c:\users\breninsul\appdata\local\steam\realtek hd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Sandor 19091 / 14719 / 2777 Регистрация: 08.10.2012 Сообщений: 59,816
	22.05.2016, 14:30	3
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя BreninSul. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. __________________________________________________ ____ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFileF('c:\users\breninsul\appdata\local\steam\realtek hd', '.exe, .dll, .sys, .bat, .vbs, .js, .tmp', true, '', 0 ,0); QuarantineFile('C:\Users\BreninSul\AppData\Local\Steam\Realtek HD\rthdcpl.exe', ''); ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true); DeleteFile('C:\Users\BreninSul\AppData\Local\Steam\Realtek HD\rthdcpl.exe', '32'); DeleteFileMask('c:\users\breninsul\appdata\local\steam\realtek hd', '', true); DeleteDirectory('c:\users\breninsul\appdata\local\steam\realtek hd'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

Опции темы