Антивирус постояно блокирует ресурсы [not-a-virus:RemoteAdmin.Win32.RDPWrap.h]

**Dobrey** · 06.12.2020, 07:59

Добрый день. Касперский переодически пишет в уведомлениях, что такой-то ресурс заблокирован. Плюс компьютер стал открывать приложения ощутимо дольше, чем пару неделшь назад.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.12.2020, 08:00

Уважаемый(ая) Dobrey, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**thyrex** · 06.12.2020, 08:04

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll','');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll','32');
 DeleteSchedulerTask('Microsoft\Windows\Windows Media Sharing\Windows Media Sharing');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

**Dobrey** · 06.12.2020, 08:48

Вот лог.

**thyrex** · 06.12.2020, 10:22

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

**Dobrey** · 06.12.2020, 10:53

Логи

**thyrex** · 06.12.2020, 11:22

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1044911766-111143947-1131395923-1001\...\MountPoints2: {afe67c96-bcd4-11e8-8c09-005056c00008} - "H:\SETUP.EXE" 
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{10c6a40c-caff-4ae6-9450-54ca32cd8269}: [NameServer] 184.82.50.108,8.8.4.4
Tcpip\..\Interfaces\{f97fb005-ec52-412f-8334-831e6007ba51}: [NameServer] 184.82.50.108,8.8.4.4
Tcpip\..\Interfaces\{fe619ad2-f7cc-4de1-bd34-a1413e7d3eb8}: [NameServer] 184.82.50.108,8.8.4.4
AlternateDataStreams: C:\ProgramData\CLDShowX.ini:Update.CL [5122]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
AlternateDataStreams: C:\Users\Все пользователи\CLDShowX.ini:Update.CL [5122]
AlternateDataStreams: C:\Users\Сократ\ntuser.ini:NTV [12792]
AlternateDataStreams: C:\Users\Сократ\AppData\Local\Temp:$DATA [16]
Toolbar: HKU\S-1-5-21-1044911766-111143947-1131395923-1001 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
Toolbar: HKU\S-1-5-21-1044911766-111143947-1131395923-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
FirewallRules: [UDP Query User{BB562DCB-42E5-4ADA-A601-31566EDD42D6}D:\games\dishonored - game of the year edition\binaries\win32\dishonored.exe] => (Allow) D:\games\dishonored - game of the year edition\binaries\win32\dishonored.exe => No File
FirewallRules: [TCP Query User{B6E5D4EC-7BA4-4A6B-83C7-916BC663F873}D:\games\dishonored - game of the year edition\binaries\win32\dishonored.exe] => (Allow) D:\games\dishonored - game of the year edition\binaries\win32\dishonored.exe => No File
FirewallRules: [{6CDC5203-707C-4734-9F8E-8010C8F75CEE}] => (Allow) H:\Games\Mass Effect\MassEffectAndromedaTrial.exe => No File
FirewallRules: [{49FE8ECC-3985-40C7-82D3-1598B94AB70D}] => (Allow) H:\Games\Mass Effect\MassEffectAndromedaTrial.exe => No File
FirewallRules: [{5F33EECA-9B8C-4721-AD89-15B0EAF2926D}] => (Allow) H:\Games\Mass Effect\MassEffectAndromeda.exe => No File
FirewallRules: [{81DE166E-A7CE-4B07-8775-3A34FD75A6CE}] => (Allow) H:\Games\Mass Effect\MassEffectAndromeda.exe => No File
FirewallRules: [{77868666-F796-4D9B-AD98-7F2ACCE203C1}] => (Allow) D:\Steam_off\Steam.exe => No File
FirewallRules: [{717AA698-40C4-4F34-B999-6F5EC2093413}] => (Allow) D:\Steam_off\Steam.exe => No File
FirewallRules: [{676D484F-E70F-419F-9DC1-615F3F34468D}] => (Allow) D:\Steam_off\bin\cef\cef.win7x64\steamwebhelper.exe => No File
FirewallRules: [{0EF2AACA-6980-445C-A044-6D72222BDD6F}] => (Allow) D:\Steam_off\bin\cef\cef.win7x64\steamwebhelper.exe => No File
FirewallRules: [TCP Query User{C3AF8A89-856E-4A25-B454-CB1E203E3398}D:\steam_off\steamapps\common\call of duty black ops\blackopsmp.exe] => (Allow) D:\steam_off\steamapps\common\call of duty black ops\blackopsmp.exe => No File
FirewallRules: [UDP Query User{0B339CFD-B041-4FF7-B14C-28773782A8CE}D:\steam_off\steamapps\common\call of duty black ops\blackopsmp.exe] => (Allow) D:\steam_off\steamapps\common\call of duty black ops\blackopsmp.exe => No File
FirewallRules: [TCP Query User{0278C1EA-EEC3-484D-8C2F-3689CABA45B1}K:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Block) K:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => No File
FirewallRules: [UDP Query User{9CB22533-74FE-4DD7-8342-8DC68E1E1294}K:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Block) K:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => No File
FirewallRules: [TCP Query User{C3696A0C-CF1D-42FD-AB95-668B0E6084C6}F:\games\gears 5\geargame\binaries\steam\gears5.exe] => (Block) F:\games\gears 5\geargame\binaries\steam\gears5.exe => No File
FirewallRules: [UDP Query User{F6927872-F3A5-4132-995F-134CF29CC28D}F:\games\gears 5\geargame\binaries\steam\gears5.exe] => (Block) F:\games\gears 5\geargame\binaries\steam\gears5.exe => No File
FirewallRules: [TCP Query User{48387667-2ADD-452F-9998-7AA60FAB2827}K:\games\modern tales age of invention rus\moderntales.exe] => (Block) K:\games\modern tales age of invention rus\moderntales.exe => No File
FirewallRules: [UDP Query User{B346AC18-991F-473E-8694-ED393F590BA0}K:\games\modern tales age of invention rus\moderntales.exe] => (Block) K:\games\modern tales age of invention rus\moderntales.exe => No File
FirewallRules: [{DE096EC1-34AA-496C-94AE-592F53EC2D0B}] => (Allow) K:\SteamLibrary\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => No File
FirewallRules: [{F26CE259-AB7F-4D6B-9DE5-8600E71DA0A3}] => (Allow) K:\SteamLibrary\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => No File
FirewallRules: [{86540BA3-A765-4617-B650-4833F28CF8CE}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{094E4639-B561-44EC-B760-E0E4BB0A9D9E}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [{39FA551B-F0F3-41F2-B878-59857AB9F2E3}] => (Allow) C:\Users\Сократ\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{1BCB6561-1FDB-43B5-B566-1DA86F05EC68}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{66926BA1-73FE-405C-974A-BEB367841EF2}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [{2AAA39C3-74C6-4BD6-A307-0A466E33BAAD}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{7F7B8A13-C852-4D18-8448-77095C3BDBE5}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [{F46DC646-FD66-40B5-AFF3-842BD62A03DB}] => (Allow) K:\SteamLibrary\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => No File
FirewallRules: [{AF76BCC4-7F85-4F61-AA7C-F7D8DE942E86}] => (Allow) K:\SteamLibrary\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => No File
FirewallRules: [TCP Query User{DFB7B6A2-E035-4685-BCB2-727D13B1BD93}K:\games\prince of persia - the forgotten sands\prince of persia.exe] => (Allow) K:\games\prince of persia - the forgotten sands\prince of persia.exe => No File
FirewallRules: [UDP Query User{5E6B954A-1F6F-469A-9230-631EDA3535B4}K:\games\prince of persia - the forgotten sands\prince of persia.exe] => (Allow) K:\games\prince of persia - the forgotten sands\prince of persia.exe => No File
FirewallRules: [{77BAEAF9-BA53-446A-9296-746B6DDE297D}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{D50AC837-A33D-485A-A7A8-701B8730B11B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [TCP Query User{B5F7DDE9-8988-478B-8B71-A88641480163}F:\games\aquanox deep descent\anx\binaries\win64\anx-win64-shipping.exe] => (Allow) F:\games\aquanox deep descent\anx\binaries\win64\anx-win64-shipping.exe => No File
FirewallRules: [UDP Query User{B4B97E79-ECDB-4355-86C4-BDF75E8DAD44}F:\games\aquanox deep descent\anx\binaries\win64\anx-win64-shipping.exe] => (Allow) F:\games\aquanox deep descent\anx\binaries\win64\anx-win64-shipping.exe => No File
FirewallRules: [TCP Query User{8CF6B3D7-5D85-461C-85FD-F1BA9A03F6BF}F:\image2\endless memories\endlessmemories.exe] => (Block) F:\image2\endless memories\endlessmemories.exe => No File
FirewallRules: [UDP Query User{99639C71-91DC-4EB0-A161-D624F1C0EC24}F:\image2\endless memories\endlessmemories.exe] => (Block) F:\image2\endless memories\endlessmemories.exe => No File
FirewallRules: [{82E25740-D400-4012-9DC4-45DCD940D03D}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{8E41815E-1EEF-4FF3-B058-0B9567435C73}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [TCP Query User{786CA6A5-9121-4204-936F-7D28B2ED58D3}F:\games\call of duty black ops iii\blackops3.exe] => (Allow) F:\games\call of duty black ops iii\blackops3.exe => No File
FirewallRules: [UDP Query User{56BB17C1-C916-4A14-AA03-4DFEE30CB5E6}F:\games\call of duty black ops iii\blackops3.exe] => (Allow) F:\games\call of duty black ops iii\blackops3.exe => No File
FirewallRules: [{53CDD04A-AE6D-426F-A28E-C403D2C0D804}] => (Block) F:\games\call of duty black ops iii\blackops3.exe => No File
FirewallRules: [{629D3CB4-12F1-4657-BD19-BD44A4AF417C}] => (Block) F:\games\call of duty black ops iii\blackops3.exe => No File
FirewallRules: [{F1FB5B55-133D-4B82-9982-6AA17F59C8BF}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{2E0BC6D5-A5ED-4349-BC0C-1D95445B8874}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [TCP Query User{32E508CA-B724-4561-A594-6ECAAE74420D}K:\games\misa\winterbottom.exe] => (Allow) K:\games\misa\winterbottom.exe => No File
FirewallRules: [UDP Query User{95209772-5C60-4FD4-9735-AAFE6B91C510}K:\games\misa\winterbottom.exe] => (Allow) K:\games\misa\winterbottom.exe => No File
FirewallRules: [{FF43849C-6B3D-4CFD-9C39-C140C1E17CAE}] => (Block) K:\games\misa\winterbottom.exe => No File
FirewallRules: [{13233944-CFAA-40DB-B482-BCC52731652A}] => (Block) K:\games\misa\winterbottom.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**Dobrey** · 06.12.2020, 12:30

Лог

**thyrex** · 06.12.2020, 12:48

Что с проблемой?

**Dobrey** · 06.12.2020, 14:42

Буду наблюдать. Большое спасибо.

**CyberHelper** · 06.12.2020, 14:52

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 1
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\program files\rdp wrapper\rdpwrap.dll - not-a-virus:Remot=
  eAdmin.Win32.RDPWrap.h

Антивирус постояно блокирует ресурсы [not-a-virus:RemoteAdmin.Win32.RDPWrap.h] (заявка № 226016)

Опции темы