0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
1

Realtek HD Audio и NT Kernel & System майнер

18.06.2021, 09:31. Показов 404. Ответов 17
Метки нет (Все метки)

Брат Скачал игру из-за которой попал майнер, нагружая ЦП на 100%, маскируется под процесс Realtek HD audio и параллельно с ним NT Kernel & System. Когда я открываю диспетчер задач процесс NT Kernel & System резко выключается, то есть если до того как я зашёл в диспетчер цп 100%, а потом он резко падает до 30%-50%. Позже замечал, что при открытом диспетчере он может закрывать его через 10-30сек., а цп вновь поднимается до 100%. Антивирусы не помогают даже при находки вирусы и после его удалении вирус остаётся. Я пытался найти расположение файлов но он кидает меня в папку Realtek HD, которой просто нет и файлов тоже.
В интернете уже много смотрел и не перепробовал не знаю просто что делать.
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Вложения
Тип файла: zip CollectionLog-2021.06.18-13.27.zip (87.4 Кб, 2 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
18.06.2021, 09:31
Ответы с готовыми решениями:

Майнер, который маскируется под NT Kernel & System и Realtek HD audio
Здравствуйте, чёрт его знает, как подхватил, но уверен в том, что это майнер. Заметил NT Kernel &...

Майнеры Realtek HD Audio и NT Kernel & System
По своей неаккуратности словил майнер (или это два майнера?), в диспетчере задач несколько...

Вирус/Червь Realtek HD audio и вместе с ним NT Kernel & System
Доброго времени суток,возникла проблема. Пару дней назад сестра скачала игру(ы) с неизвестного...

Майнер, маскирующийся под NT Kernel и Realtek HD
Словил на свою голову эту гадость. Блокирует установку любых антивирусов, грузит процессор,...

17
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 09:37 2
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 11:12  [ТС] 3
Я всё сделал, был удален пользователь джон и другие компоненты.
0
Вложения
Тип файла: zip CollectionLog-2021.06.18-15.12.zip (84.6 Кб, 3 просмотров)
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 11:27 4
Внимание! Рекомендации написаны специально для пользователя serg1x. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Web Companion
Кнопка "Яндекс" на панели задач
Менеджер браузеров
2. Пофиксите в HijackThis следующие строчки:
Код
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe  (file missing)
O15 - Trusted Zone: [url]http://webcompanion.com[/url]
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\svchost.exe
O26 - Debugger: HKLM\..\calc.exe: [Debugger] = C:\Windows\system32\win32calc.exe
O26 - Debugger: HKLM\..\upfc.exe: [Debugger] = C:\Windows\system32\svchost.exe
3. Подготовьте и прикрепите лог сканирования AdwCleaner.

Добавлено через 2 минуты
Цитата Сообщение от Sandor Посмотреть сообщение
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению
Этот отчёт тоже покажите.
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 11:49  [ТС] 5
Всё сделал.
0
Вложения
Тип файла: zip CollectionLog-2021.06.18-15.45.zip (82.0 Кб, 4 просмотров)
Тип файла: log AV_block_remove.log (5.5 Кб, 6 просмотров)
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 12:15 6
Пункт 3 нужен лог другой утилиты, пройдите по ссылке.
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 12:24  [ТС] 7
Извиняюсь.
0
Вложения
Тип файла: txt AdwCleaner[S00].txt (3.0 Кб, 2 просмотров)
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 12:32 8
1.
  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!


2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 12:46  [ТС] 9
Всё сделал.
0
Вложения
Тип файла: txt AdwCleaner[C01].txt (3.0 Кб, 2 просмотров)
Тип файла: zip Тексты.zip (20.8 Кб, 2 просмотров)
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 12:53 10
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3575652905-372323016-1797205285-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    CHR DefaultSearchURL: Default -> hxxps://www.serci.info?q={searchTerms}&gd=SY2173312
    CHR DefaultSearchKeyword: Default -> yandex search
    CHR DefaultSuggestURL: Default -> hxxps://suggest.finditnowonline.com/suggestionfeed/suggestion?format=json&gd=SY2173312&q={searchTerms}
    AlternateDataStreams: C:\Windows\System32:tdsrset_i.gfc [1455]
    FirewallRules: [{1B7F69BE-CE83-4447-8CB8-82FF7C3CBBF1}] => (Allow) LPort=5357
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 13:00  [ТС] 11
Компьютер перезагрузился.
0
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 13:01 12
Цитата Сообщение от Sandor Посмотреть сообщение
Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению
Жду.
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 13:02  [ТС] 13
Ждите.
0
Вложения
Тип файла: txt Fixlog.txt (3.4 Кб, 3 просмотров)
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 13:05 14
Проблема решена?
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 13:09  [ТС] 15
Да, спасибо огромное.
0
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 13:23 16
В завершение:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
0 / 0 / 0
Регистрация: 17.06.2021
Сообщений: 9
18.06.2021, 13:42  [ТС] 17
Всё сделанно.
0
Вложения
Тип файла: txt SecurityCheck.txt (9.7 Кб, 6 просмотров)
Вирусоборец
16619 / 13587 / 2452
Регистрация: 08.10.2012
Сообщений: 55,080
18.06.2021, 13:48 18
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 20.02 alpha (x64) v.20.02 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.2.2 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Opera Stable 73.0.3856.284 v.73.0.3856.284 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 75.0.3969.267 v.75.0.3969.267 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
McAfee Security Scan Plus v.3.11.2023.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
18.06.2021, 13:48

Майнер маскирующийся под Realtek и NT Kernel
Приветствую, в один момент в диспетчере задач начали появляться процессы RealTek и NT Kernel сильно...

Майнер маскирующийся под Realtek и NT Kernel
Приветствую, подозреваю что после скачивания фотошопа и интернета, компьютер начал грузится за все...

Вирус\Майнер маскирующийся под Realtek и NT Kernel
Где то подцепил авто лаунче этой дрян система сразу показала завышение температуры на внешнем...

Нашел майнер маскирующийся под Realtek Audio
Вообщем, не так давно начал замечать то, что компьютер начал медленно работать, и процессор сильно...

Поймал майнер скрывающийся под Realtek HD Audio
Здравствуйте поймал недавно вирус который скрывается под Realtek процес с автозагрузки снимаю но...

Подхватил майнер маскирующийся под Realtek Audio Driver
Здравствуйте. на днях стал замечать падение производительности процессора, компьютер стал работать...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.