Вирус/Червь Realtek HD audio и вместе с ним NT Kernel & System

@Vlad8787 · Регистрация: 01.06.2021

Author24 — интернет-сервис помощи студентам

Доброго времени суток,возникла проблема.
Пару дней назад сестра скачала игру(ы) с неизвестного источника,тем самым поймав вирус/червя,который маскируется под процесс Realtek HD audio и параллельно с ним NT Kernel & System(У меня никогда не было такого процесса!)Заметил сегодня(01.06.21) в процессах+окно диспетчера задач закрывалось самостоятельно через определенный промежуток времени.
В интернете искал решение проблемы.Ничего не нашел.Где-то пишут,что этот(и)вирус(ы) заражает(ют) все форматы файлов( и фото,видео,музыку),что если заражен им,то спасать нечего,ибо это дальнейшее распространение на другие ОС через другие носители(флешки-USB и т.п),где-то пишут,что можно переустановить ОС,но есть шанс,что он перепишется вновь и все повториться,а где-то предлагают лечение системы,но вирус остается навсегда.
Я не знаю,чему верить.Пугает то,что на компьютере много важных данных(пароли,видео,фото,музыка,тексты),а,как я понял,этот вирус может транслировать злоумышленнику все мои действия на РС и дает возможность просмотра и управления системой!(Конечно,пока есть доступ к интернету,а так этот вирус просто пускает РС в разнос(под 100% ЦП) )
Сейчас я пишу через РС,войдя через безопасный режим с подключением в сеть.
У меня вопросы:
1)Если антивирус(У меня IOBit Malware Fighter 8.6 Free) не видит "этой" угрозы и все то,где хранятся мои данные,тоже по скану антивируса вроде как безопасны,ТО могу ли я перебросить самое важное на другой ОС(например:через флешку на другой РС?)
(Из файлов по формату:Музыка,видео,фото,тексты,документы)Вирус не цепляется к таким файлам?
((Физический диск у меня один,но разделен в ОС на 2(C и D)(На D важное)(На C система(где возможно вирус))
И после того,как важное перенесу,то просто снести под 0 ОС и поставить заново,заранее ОТФОРМАТИРОВАВ жесткий диск?Это может помочь от полного избавления от вируса Realtek HD audio и параллельно с ним NT Kernel & System?
2)Возможно ли избавиться от этого вируса раз и навсегда?Если да,то надеюсь Вы мне поможете!

Я скачал autologger,вот что получилось

@Sandor · 01.06.2021, 15:53

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

@Vlad8787 · 01.06.2021, 16:24 **[ТС]**

Вот.Все сделал как Вы написали.
Скачал,запустил,правда сначала не мог,вирус не давал сделать,но через безопасный режим скачал и установил,а запустил уже в обычном режиме,пока система запускалась(вроде успел)
Лог скинул.

@Sandor · 01.06.2021, 16:30

Должно уже полегчать.

Сообщение от Vlad8787

антивирус(У меня IOBit Malware Fighter 8.6 Free)

Не самый лучший выбор. Вся продукция фирмы IOBit относится к потенциально нежелательному ПО.

Внимание! Рекомендации написаны специально для пользователя Vlad8787. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Avast Update Helper
Driver Booster
IObit Malware Fighter 8
IObit Uninstaller
Менеджер браузеров

Некоторые из перечисленный возможно скрыты, поэтому пробуйте такие удалить по этой инструкции.
Если даже не получится:

2. Подготовьте и прикрепите лог сканирования AdwCleaner.

@Vlad8787 · 01.06.2021, 17:09 **[ТС]**

Да,полегчало!Процессов больше нет(Пока не заметил,цп не доходит до 100 и ничего не закрывается)
Что ж,продукцию IOBit я удалил(А именно: Driver Booster , IObit Malware Fighter 8 , IObit Uninstaller ) через панель управления,а вот Avast Update Helper и Менеджер браузеров я в списках не нашел.Я выполнил указания в инструкции к скрытым файлам и нашел их в списках скрытых,но когда нажимаю Uninstall application ,то ничего не происходит.Ничего удаляется и так остаются эти 2 файла (Avast Update Helper и Менеджер браузеров)(Я ими не пользуюсь,желательно их удалить,но что-то не получается.)

Я загрузил AdwCleaner,провел Scan .
Вот лог.

@Sandor · 01.06.2021, 19:24

1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Vlad8787 · 02.06.2021, 09:10 **[ТС]**

Еще раз здравствуйте!
1)Я выполнил действия,скидываю 2 файла(отчет C и S)
2)Скачал,запустил,просканировал. Вот отчеты FRST.txt и Addition.txt

@Sandor · 02.06.2021, 10:36

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-259613793-772994941-755873292-1000\...\MountPoints2: F - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-259613793-772994941-755873292-1000\...\MountPoints2: {31e7460b-2714-11eb-8b36-4cbb58783d0e} - I:\HiSuiteDownLoader.exe
HKU\S-1-5-21-259613793-772994941-755873292-1000\...\MountPoints2: {87164a77-7a96-11eb-b9e7-4cbb58783d0e} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-259613793-772994941-755873292-1000\...\MountPoints2: {db1f1b74-6f39-11eb-8c6a-4cbb58783d0e} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-259613793-772994941-755873292-1000\...\MountPoints2: {f8154b9d-be8e-11ea-881d-4cbb58783d0e} - F:\AutoRun.exe
HKU\S-1-5-21-259613793-772994941-755873292-1000\...\MountPoints2: {f8154baf-be8e-11ea-881d-4cbb58783d0e} - F:\AutoRun.exe
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\Светлана\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
C:\Users\Светлана\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\imgpenhngnbnmhdkpdfnfhdpmfgmihdn
CHR HKU\S-1-5-21-259613793-772994941-755873292-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
2021-06-02 13:51 - 2020-07-05 20:14 - 000000000 ____D C:\Users\Светлана\AppData\Roaming\IObit
2021-06-02 13:51 - 2020-07-05 20:14 - 000000000 ____D C:\Users\Светлана\AppData\LocalLow\IObit
2021-06-02 13:51 - 2020-07-05 20:14 - 000000000 ____D C:\ProgramData\IObit
2021-06-02 13:38 - 2009-07-14 13:08 - 000000006 ____H C:\Windows\Tasks\SA.DAT
2021-06-02 13:37 - 2020-07-05 23:11 - 000000000 ____D C:\Program Files (x86)\IObit
Avast Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.8.1065.0 - AVAST Software) Hidden
Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Сообщение от Vlad8787

Ничего удаляется и так остаются эти 2 файла (Avast Update Helper и Менеджер браузеров)

Пробуйте сейчас их удалить через Панель управления - Удаление программ

@Vlad8787 · 02.06.2021, 12:25 **[ТС]**

Код ввел,нажал исправить.Вот лог.
Пробовал удалить через панель управления - не нашел там эти проги.Скорее всего так же скрытые.

@Sandor · 02.06.2021, 12:35

Сообщение от Vlad8787

Скорее всего так же скрытые

Нет, после исправления в FRST они должны были появиться в перечне установленных программ.
Проверьте ещё раз и сообщите.

@Vlad8787 · 02.06.2021, 12:52 **[ТС]**

Да,они появились.
Avast Update Helper я уже удалил,а вот менеджер браузеров не могу.Приложение прилагается.

@Sandor · 02.06.2021, 12:54

Удалите принудительно через Geek Uninstaller

@Vlad8787 · 02.06.2021, 12:57 **[ТС]**

Все,чисто.Вирусов нет,лишних приложений тоже.
Что теперь?Какую защиту ставить теперь?

Добавлено через 19 секунд
Все,чисто.Вирусов нет,лишних приложений тоже.
Что теперь?Какую защиту ставить теперь?

@Sandor · 02.06.2021, 13:04

Сначала завершающие шаги:

1.

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Vlad8787 · 02.06.2021, 13:14 **[ТС]**

FRST64.exe не могу переименовать.Его будто нет.
Скан я удалил.
Папки с лечением удалил.
Сейчас скачаю SecurityCheck

@Vlad8787 · 02.06.2021, 13:30 **[ТС]**

Вот лог.

Удалить FRST64.exe я так и не могу пока.(вашим способом)

@Sandor · 02.06.2021, 13:41

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45988 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.0.5 Full v.16.0.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 88.0.1 (x64 ru) v.88.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.64.0.3282.140 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

@Vlad8787 · 02.06.2021, 17:03 **[ТС]**

А вот HotFix-ы стабильные?
У меня потом не будет проблем,ну,там вылеты или неполадки с драйверами?

@Sandor · 02.06.2021, 20:16

Перед установкой делайте резервное копирование, создавайте контрольные точки.
Если хотфиксы не установить, останутся открытыми давно известные и успешно эксплуатируемые злоумышленниками дыры.

Читайте Рекомендации после удаления вредоносного ПО

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	01.06.2021, 15:53	2
	Здравствуйте! Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	01.06.2021, 16:30	4
	Должно уже полегчать. Сообщение от Vlad8787 антивирус(У меня IOBit Malware Fighter 8.6 Free) Не самый лучший выбор. Вся продукция фирмы IOBit относится к потенциально нежелательному ПО. Внимание! Рекомендации написаны специально для пользователя Vlad8787. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО: Avast Update Helper Driver Booster IObit Malware Fighter 8 IObit Uninstaller Менеджер браузеров Некоторые из перечисленный возможно скрыты, поэтому пробуйте такие удалить по этой инструкции. Если даже не получится: 2. Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	01.06.2021, 19:24	6
	1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!! 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	02.06.2021, 12:35	10
	Сообщение от Vlad8787 Скорее всего так же скрытые Нет, после исправления в FRST они должны были появиться в перечне установленных программ. Проверьте ещё раз и сообщите. 0

@Vlad8787 0 / 0 / 0 Регистрация: 01.06.2021 Сообщений: 15
	02.06.2021, 12:52 [ТС]	11
	Да,они появились. Avast Update Helper я уже удалил,а вот менеджер браузеров не могу.Приложение прилагается. Миниатюры 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	02.06.2021, 12:54	12
	Удалите принудительно через Geek Uninstaller 0

@Vlad8787 0 / 0 / 0 Регистрация: 01.06.2021 Сообщений: 15
	02.06.2021, 12:57 [ТС]	13
	Все,чисто.Вирусов нет,лишних приложений тоже. Что теперь?Какую защиту ставить теперь? Добавлено через 19 секунд Все,чисто.Вирусов нет,лишних приложений тоже. Что теперь?Какую защиту ставить теперь? 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	02.06.2021, 13:04	14
	Сначала завершающие шаги: 1. Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Удалить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Vlad8787 0 / 0 / 0 Регистрация: 01.06.2021 Сообщений: 15
	02.06.2021, 13:14 [ТС]	15
	FRST64.exe не могу переименовать.Его будто нет. Скан я удалил. Папки с лечением удалил. Сейчас скачаю SecurityCheck Миниатюры 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	02.06.2021, 13:41	17
	------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз ------------------------------- [ HotFix ] -------------------------------- HotFix KB3177467 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4539602 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45988 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u291-windows-x64.exe)^ -------------------------------- [ Media ] -------------------------------- K-Lite Codec Pack 16.0.5 Full v.16.0.5 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 88.0.1 (x64 ru) v.88.0.1 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Google Chrome v.64.0.3282.140 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ 0

	02.06.2021, 20:16

@Vlad8787 0 / 0 / 0 Регистрация: 01.06.2021 Сообщений: 15
	02.06.2021, 17:03 [ТС]	18
	А вот HotFix-ы стабильные? У меня потом не будет проблем,ну,там вылеты или неполадки с драйверами? 0