Прекращена работа Хост-процесс для службы Windows [not-a-virus:RemoteAdmin.Win32.RAdmin.jh, Trojan-Downloader.Win32.Agent.xwht ]

[serega74]

combofix

[Techno]

Еще РСИТ сделайте.

[serega74]

rsit

[Techno]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.

Код:

KillAll::

File::
C:\Users\Serega\AppData\Roaming\netprotocol.exe
C:\Program Files\svchost.exe
C:\Users\Serega\AppData\Roaming\Microsoft\taskhost.exe
C:\Windows\system32\machineupdate32.exe
C:\Users\Serega\AppData\Roaming\Gyet\payw.exe

Driver::


NetSvc::


Folder::
C:\Users\Serega\AppData\Roaming\Gyet

Registry::
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Netprotocol]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskhost]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Debugger 32]
-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{35581B04-5A61-7B86-245A-26E1A781DCB5}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Windows\SysWOW64\explorer.exe"=-

FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Повторите логи РСИТ и МБАМ

[serega74]

логи...

[Techno]

Это выполнили?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:.После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Кроме исчезновения файла hosts какие-нибудь проблемы еще есть?

[serega74]

да, выполнил
кроме hostsa проблем вроде больше нет!

[Techno]

Нужно удалить из реестра:

Код:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Netprotocol]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\svchost]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Taskhost]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Debugger 32]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{35581B04-5A61-7B86-245A-26E1A781DCB5}]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\C:\Windows\SysWOW64\explorer.exe]

[serega74]

cделал.
не помогло.
так же hosts удаляется...

[serega74]

добрый день!
со мной все?
вариантов больше нет?

[Techno]

Пробуйте из автозагрузки постепенно программы убирать. Всего скорее какая-то из них. NOD попробуйте отключить из автозапуска.

[mrak74]

+ проверьте в меню антивируса - Служебные программы - Планировщик - нет ли там задания на "Запуск внешнего приложения" ?

[serega74]

@NOD попробуйте отключить из автозапуска.@
не убирался, при перезагрузте, опять запускался.

в итоге удалил нод!
при перезагрузке host не удалился.

поставил 6ю версию нода. тоже все ок. hosts на месте.

что это было?

[mrak74]

что это было?

Ответил в ЛС.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\users\\serega\\appdata\\roaming\\651749\\65174 9.exe - Trojan-Downloader.Win32.Agent.xwht ( DrWEB: BackDoor.Tishop.25, BitDefender: Trojan.Generic.8738146, AVAST4: Win32:MalPack-F [Trj] )
  2. c:\\windows\\system32\\config\\svchost.exe - not-a-virus:RemoteAdmin.Win32.RAdmin.jh ( DrWEB: Program.RemoteAdmin.75, BitDefender: Trojan.Generic.5995439 )