[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\andrei\appdata\roaming\mozilla\realtek hd\rthdcpl.exe');
 TerminateProcessByName('C:\Users\Andrei\AppData\Roaming\svchost.exe');
 QuarantineFileF('c:\users\andrei\appdata\roaming\mozilla\realtek hd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\users\andrei\appdata\roaming\mozilla\realtek hd\rthdcpl.exe', '');
 QuarantineFile('C:\Users\Andrei\AppData\Roaming\svchost.exe', '');
 QuarantineFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{E9D3707A-DAC8-45B4-B653-4E36ACCA5F62}.tmp', '');
 QuarantineFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{E5B5C439-5B60-4FB1-9B83-41CCDBFF7ECD}.tmp', '');
 QuarantineFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{49CD84AA-00BF-425F-8554-54BF2FF4D4D9}.tmp', '');
 QuarantineFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{A7BE691B-A230-4EF5-ABEB-602C7E40899E}.tmp', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Realtek HD Audio" /F', 0, 15000, true);
 DeleteFile('c:\users\andrei\appdata\roaming\mozilla\realtek hd\rthdcpl.exe', '32');
 DeleteFile('C:\Users\Andrei\AppData\Roaming\svchost.exe', '32');
 DeleteFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{E9D3707A-DAC8-45B4-B653-4E36ACCA5F62}.tmp', '32');
 DeleteFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{E5B5C439-5B60-4FB1-9B83-41CCDBFF7ECD}.tmp', '32');
 DeleteFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{49CD84AA-00BF-425F-8554-54BF2FF4D4D9}.tmp', '32');
 DeleteFile('C:\Users\Andrei\AppData\Local\Temp\{2AFDE7B0-2866-4475-9285-921A2FFA21A1}\{A7BE691B-A230-4EF5-ABEB-602C7E40899E}.tmp', '32');
 DeleteFileMask('c:\users\andrei\appdata\roaming\mozilla\realtek hd', '*', true);
 DeleteDirectory('c:\users\andrei\appdata\roaming\mozilla\realtek hd');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[davilan@vk]

Спасибо за помощь, svchost который грузил до 50% пропал. Но теперь появился wabmig.exe грузит до 30. Логи приложил

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.