Здравствуйте, примерно неделю назад при включении ПК услышал шум работающих кулеров, в MSI Afterburner обнаружил загрузку ГП на 79%, в диспетчере задач активно трудился процесс Realtek HD Audio (32 бита). Сам файл находился в папке AppData Roaming в какой-то папке. При отключении интернета загрузка ГП и процессора сразу падала. Значит вирус, прибил процесс в диспетчере задач и удалил эту папку целиком. Вроде проблема решилась. Каждый день при запуске ПК сразу мониторил загрузку ЦП и ГП, все было штатно. Сегодня при запуске ПК опять обнаружил тот же процесс, но исполняемый файл "rthdcpl" находился уже в другой временной папке, каким-то образом вирус опять попал в ПК. Просканировал эту папку антивирусом NOD32 Antivirus 9.0.408.1, ничего криминального он не обнаружил. Прибил процесс в диспетчере задач, папку с файлом удалил и на всякий случай создал тему. Проверьте пожалуйста систему, где-то в системе есть лазейка для этого вируса.

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rgho.st/), Zippyshare (http://www.zippyshare.com/), My-Files.RU (http://my-files.ru/), karelia.ru (http://file.karelia.ru/), Ge.tt (http://www.ge.tt/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.

2) AusLogics BoostSpeed [2017/02/18 20:10:13]-->C:\Program Files (x86)\Auslogics\AusLogics BoostSpeed\Uninstall.exe
- потенциально нежелательная программа, советую деинсталировать.

Кнопка "Яндекс" на панели задач [2016/08/06 00:06:28]-->C:\Users\Andrey\AppData\Local\Yandex\yapin\YandexWorking.exe --uninstall --nopinned
Менеджер браузеров [2016/08/06 00:06:28]-->"C:\Users\Andrey\AppData\Local\Package Cache\{a4e708c3-efaf-49b0-aa5a-394305338e7b}\BrowserManagerInstaller.exe" /uninstall
Менеджер браузеров [20160428]-->MsiExec.exe /X{691BB354-E7AF-4447-ADE2-549A86613965}
Если не используете, также деинсталировать.

3) Профиксите в HijackThis
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - ScheduledTask: (Ready) MSIOSDx64_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x64\MsiGamingOSD_x64.exe (file missing)
O22 - ScheduledTask: (Ready) MSIOSDx86_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x86\MsiGamingOSD_x86.exe (file missing)
O22 - ScheduledTask: (Ready) Realtek HD Audio - {root} - "C:\Users\Andrey\AppData\Roaming\Auslogics\Realtek HD\rthdcpl.exe" b5Cd98b3bF7d121e14130049cDF86b58EAE49c9B (file missing)


4) Сделайте свежие логи.

5) Отпишитесь, что с проблемой.

+
- сделайте лог Check Browsers' LNK by Dragokas & regist (http://dragokas.com/tools/CheckBrowsersLNK_test.zip) (именно версией по этой ссылке).

Спасибо, что откликнулись! Данные архива: Размер файла, байт: 77281951 MD5: AC463AA5802FCF467CBA63B37E8B080A
AusLogics и кнопку Яндекса удалил. 3) Профиксите в HijackThis » К сожалению, я не знаю как это сделать... Подскажите.
4. Свежий лог прикрепляю. 5. Пока никаких проблем нет, каждый день при включении ПК мониторю загрузку ЦП и ГП, все в пределах нормы.

как это сделать... Подскажите »
Как "пофиксить" (http://forum.oszone.net/post-1430293-2.html)

Программу используйте из набора Автологера:
C:\Users\Andrey\Downloads\AutoLogger\AutoLogger\HiJackThis\HiJackThis.exe

Свежие логи после фикса в HijackThis. Размер файла, байт: 78253316 MD5: 48B2E767C98E7EB963DFAEF0F388FD20

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ClearQuarantine;
QuarantineFile('C:\Users\Andrey\AppData\Roaming\Auslogics\BoostSpeed\Disabled Startup\Вырезка экрана и программа запуска для OneNote 2010.lnk', '');
QuarantineFile('C:\Users\Andrey\Favorites\Вкладки Опера\как создать загрузочную флешку acronis - 176 тыс. результатов. Поиск@Mail.Ru.url', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.


Файл test.zip из папки с распакованной утилитой AVZ закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare (http://www.zippyshare.com/), My-Files.RU (http://my-files.ru/)) ссылку на скачивание пришлите мне в ЛС.

2) Профиксите в HijackThis

O22 - ScheduledTask: (Ready) MSIOSDx64_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x64\MsiGamingOSD_x64.exe (file missing)
O22 - ScheduledTask: (Ready) MSIOSDx86_Host - {root} - C:\Program Files (x86)\MSI\Gaming APP\OSD\x86\MsiGamingOSD_x86.exe (file missing)
O22 - ScheduledTask: (Ready) Realtek HD Audio - {root} - "C:\Users\Andrey\AppData\Roaming\Auslogics\Realtek HD\rthdcpl.exe" b5Cd98b3bF7d121e14130049cDF86b58EAE49c9B (file missing)
O22 - ScheduledTask: (Ready) Start On Andrey Logon - \Auslogics\BoostSpeed\Integrator - C:\Program Files (x86)\Auslogics\AusLogics BoostSpeed\BoostSpeed.exe -UseTray (file missing)


3) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK (http://safezone.cc/resources/102/). Отчёт о работе прикрепите.

4) Сделайте свежий лог этой версией Автологера (http://tools.safezone.cc/drongo/test/AutoLogger-test.zip).

+ Забыл приписать, что не используйте репаки от Кролика. Очень часто именно они являются причиной заражения.

Всем спасибо за помощь!