Здравствуйте! Столкнулся с программой удаленного управления remote manipulator system. Точнее с ее модернизацией. Думаю вы знакомы с этим вирусом.
Все попытки удалить файлы rutserv.exe и rfusclient.exe из каталога C:\Windows\SysWOW64\sysfiles, а также чистка реестра и остановка службы TektonIT ничем не помогла. Антивирусы Kaspersky Internet Security и Dr. Cureit лишь обнаружили rutserv.exe и rfusclient.exe как опасное ПО.
Описанные на форумах стандартные пути решения проблемы не помогли, отчаявшись решил написать Вам.
По моим наблюдениям (мониторил через Process Explorer) в случаи если компьютер подключен и Интернету, вирусная программа, запускает команду conhost.exe из службы csrss.exe, которая в дальнейшем (как мне показалось) скачивает инстал программы. Далее запускается тот самый инстал, за секунды устанавливает и запускает rutserv.exe и rfusclient.exe, а также службу TektonIT. Через какой промежуток времени это происходит, точно определить не удалось, примерно через 1-2 часа. Даже если проделать чистку, после перезагрузки в какое-то время вирус устанавливается вновь.
При отключении Интернета, вирус ни как себя не проявлял на протяжении 1 часа. При подключении, буквально через 15 мин. он установился.
Заразится я мог в 2 случаях.
1) Когда заходил на официальный сайт ЦРУ www.cia.gov, Chrome предупредил о не безопасном сайте (у друзей заходило без проблем), удивившись и проверив адрес и нажал продолжить. Не успев загрузить страницу, сайт потребовал обновить adobe flash player и кидал на сайт загрузки с файлом размер которого около 2 Мб (Flash player естественно был у меня установлен последней версии и работал исправно). Заподозрив что, тут что-то не так не стал его качать. Но так как нужна была статистика с сайта, совершил свою роковую ошибку. Программа не установившись выдала ошибку. После каких-то махинаций на сайт www.cia.gov стало заходить как положено со всеми сертификатами безопасности и ничего не требуя.
2) Через программы с Google Play позволяющие добавить второй монитор используя планшет.
Надеюсь я достаточно подробно описал ситуацию. Лог файлов был сделал программами с вашего сайта.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) yariy13, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Извините за долгий ответ. Программа делала сканирование 10 часов.
До вашего сообщения, провел тщательную чистку реестра и системы в безопасном режиме и удалил все ключи и файлы, которые хоть как-то были связны с RMS. Затем провел сканирование dr. web cureit было найдено 3 трояна и несколько кейлогеров. После провел сканирование ESET Online Scanner, было найдено 30 вирусов, среди которых было несколько файлов с меткой "RemoteAdmin". Все зараженные файлы я удалил. После всего этого почистил программой CCleaner.
После перезагрузки, система не выдавала никаких ошибок и работала стабильно. Также не было обнаружено запуска тех самых процессов RMS на протяжении суток при активном соединении с Интерном. Правда сеть была другая. Сейчас пока пишу вам это сообщение со своей родной сети, ничего подозрительного не происходит.
Могу ли я быть уверен, что вирус удален с моего компьютера? И как избежать повторного заражения в дальнейшем? У меня стоит Kaspersky Internet Security 2013, защитник и брандмауэр Windows отключены.
Появилась проблема, которую я описывал выше. Сайт https://www.cia.gov/ снова считается не безопасным. Если нажать продолжить, то открывается окно в котором просят обновить adobe flash player, если пройти по ссылки, то кидает на сайт с загрузкой того самого вируса RMS. В других браузера тоже самое.
Что с этим можно сделать?
Прилагаю скриншот. Screenshot_1.png
Вое еще что заметил. Если раздавать интернет через wi-fi, то на подключенных устройствах выдает ту же ошибку с проблемой сертификата. Как в стандартном браузере, так и в Chrome на планшете. На телефоне в Opera Mobile тоже ошибка безопасности сертификата.
Если на телефоне подключится к мобильному интернету от МТС, то никаких ошибок нет. Друзья тоже говорят что у них все нормально заходит.