Показано с 1 по 10 из 10.

Вирус на основе Remote Manipulator System (RMS) (заявка № 159764)

  1. #1
    Junior Member Репутация
    Регистрация
    15.05.2014
    Сообщений
    5
    Вес репутации
    37

    Вирус на основе Remote Manipulator System (RMS)

    Здравствуйте! Столкнулся с программой удаленного управления remote manipulator system. Точнее с ее модернизацией. Думаю вы знакомы с этим вирусом.
    Все попытки удалить файлы rutserv.exe и rfusclient.exe из каталога C:\Windows\SysWOW64\sysfiles, а также чистка реестра и остановка службы TektonIT ничем не помогла. Антивирусы Kaspersky Internet Security и Dr. Cureit лишь обнаружили rutserv.exe и rfusclient.exe как опасное ПО.
    Описанные на форумах стандартные пути решения проблемы не помогли, отчаявшись решил написать Вам.

    По моим наблюдениям (мониторил через Process Explorer) в случаи если компьютер подключен и Интернету, вирусная программа, запускает команду conhost.exe из службы csrss.exe, которая в дальнейшем (как мне показалось) скачивает инстал программы. Далее запускается тот самый инстал, за секунды устанавливает и запускает rutserv.exe и rfusclient.exe, а также службу TektonIT. Через какой промежуток времени это происходит, точно определить не удалось, примерно через 1-2 часа. Даже если проделать чистку, после перезагрузки в какое-то время вирус устанавливается вновь.
    При отключении Интернета, вирус ни как себя не проявлял на протяжении 1 часа. При подключении, буквально через 15 мин. он установился.

    Заразится я мог в 2 случаях.
    1) Когда заходил на официальный сайт ЦРУ www.cia.gov, Chrome предупредил о не безопасном сайте (у друзей заходило без проблем), удивившись и проверив адрес и нажал продолжить. Не успев загрузить страницу, сайт потребовал обновить adobe flash player и кидал на сайт загрузки с файлом размер которого около 2 Мб (Flash player естественно был у меня установлен последней версии и работал исправно). Заподозрив что, тут что-то не так не стал его качать. Но так как нужна была статистика с сайта, совершил свою роковую ошибку. Программа не установившись выдала ошибку. После каких-то махинаций на сайт www.cia.gov стало заходить как положено со всеми сертификатами безопасности и ничего не требуя.
    2) Через программы с Google Play позволяющие добавить второй монитор используя планшет.

    Надеюсь я достаточно подробно описал ситуацию. Лог файлов был сделал программами с вашего сайта.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) yariy13, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    15.05.2014
    Сообщений
    5
    Вес репутации
    37
    Извините за долгий ответ. Программа делала сканирование 10 часов.

    До вашего сообщения, провел тщательную чистку реестра и системы в безопасном режиме и удалил все ключи и файлы, которые хоть как-то были связны с RMS. Затем провел сканирование dr. web cureit было найдено 3 трояна и несколько кейлогеров. После провел сканирование ESET Online Scanner, было найдено 30 вирусов, среди которых было несколько файлов с меткой "RemoteAdmin". Все зараженные файлы я удалил. После всего этого почистил программой CCleaner.
    После перезагрузки, система не выдавала никаких ошибок и работала стабильно. Также не было обнаружено запуска тех самых процессов RMS на протяжении суток при активном соединении с Интерном. Правда сеть была другая. Сейчас пока пишу вам это сообщение со своей родной сети, ничего подозрительного не происходит.

    Могу ли я быть уверен, что вирус удален с моего компьютера? И как избежать повторного заражения в дальнейшем? У меня стоит Kaspersky Internet Security 2013, защитник и брандмауэр Windows отключены.
    Вложения Вложения
    • Тип файла: txt log.txt (1.8 Кб, 5 просмотров)

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Ничего плохого в логах
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    15.05.2014
    Сообщений
    5
    Вес репутации
    37
    Появилась проблема, которую я описывал выше. Сайт https://www.cia.gov/ снова считается не безопасным. Если нажать продолжить, то открывается окно в котором просят обновить adobe flash player, если пройти по ссылки, то кидает на сайт с загрузкой того самого вируса RMS. В других браузера тоже самое.
    Что с этим можно сделать?
    Прилагаю скриншот.
    Screenshot_1.png

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Интернет через роутер?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    15.05.2014
    Сообщений
    5
    Вес репутации
    37
    Нет. Прямое подключение через PPPOE.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Сделайте лог ComboFix
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    15.05.2014
    Сообщений
    5
    Вес репутации
    37
    Готово.

    - - - Добавлено - - -

    Вое еще что заметил. Если раздавать интернет через wi-fi, то на подключенных устройствах выдает ту же ошибку с проблемой сертификата. Как в стандартном браузере, так и в Chrome на планшете. На телефоне в Opera Mobile тоже ошибка безопасности сертификата.
    Если на телефоне подключится к мобильному интернету от МТС, то никаких ошибок нет. Друзья тоже говорят что у них все нормально заходит.
    Вложения Вложения

Похожие темы

  1. Вышел InfraLinux на основе Ubuntu 9.04
    От altai-online в разделе Linux
    Ответов: 0
    Последнее сообщение: 05.06.2009, 10:36
  2. Ответов: 5
    Последнее сообщение: 29.07.2006, 23:44
  3. Вирус на основе PGPcoder
    От Johny в разделе Вредоносные программы
    Ответов: 6
    Последнее сообщение: 14.12.2004, 22:30

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01647 seconds with 18 queries