Вирус на основе Remote Manipulator System (RMS)

Здравствуйте! Столкнулся с программой удаленного управления remote manipulator system. Точнее с ее модернизацией. Думаю вы знакомы с этим вирусом.
Все попытки удалить файлы [B]rutserv.exe[/B] и [B]rfusclient.exe[/B] из каталога C:\Windows\SysWOW64\sysfiles, а также чистка реестра и остановка службы [B]TektonIT [/B]ничем не помогла. Антивирусы Kaspersky Internet Security и Dr. Cureit лишь обнаружили [B]rutserv.exe[/B] и [B]rfusclient.exe [/B]как опасное ПО.
Описанные на форумах стандартные пути решения проблемы не помогли, отчаявшись решил написать Вам.

По моим наблюдениям (мониторил через Process Explorer) в случаи если компьютер подключен и Интернету, вирусная программа, запускает команду conhost.exe из службы csrss.exe, которая в дальнейшем (как мне показалось) скачивает инстал программы. Далее запускается тот самый инстал, за секунды устанавливает и запускает [B]rutserv.exe[/B] и [B]rfusclient.exe[/B], а также службу [B]TektonIT. [/B]Через какой промежуток времени это происходит, точно определить не удалось, примерно через 1-2 часа. Даже если проделать чистку, после перезагрузки в какое-то время вирус устанавливается вновь.
При отключении Интернета, вирус ни как себя не проявлял на протяжении 1 часа. При подключении, буквально через 15 мин. он установился.

Заразится я мог в 2 случаях.
1) Когда заходил на официальный сайт ЦРУ [URL="http://www.cia.gov"]www.cia.gov[/URL], Chrome предупредил о не безопасном сайте (у друзей заходило без проблем), удивившись и проверив адрес и нажал продолжить. Не успев загрузить страницу, сайт потребовал обновить adobe flash player и кидал на сайт загрузки с файлом размер которого около 2 Мб (Flash player естественно был у меня установлен последней версии и работал исправно). Заподозрив что, тут что-то не так не стал его качать. Но так как нужна была статистика с сайта, совершил свою роковую ошибку. Программа не установившись выдала ошибку. После каких-то махинаций на сайт [URL="http://www.cia.gov"]www.cia.gov[/URL] стало заходить как положено со всеми сертификатами безопасности и ничего не требуя.
2) Через программы с Google Play позволяющие добавить второй монитор используя планшет.

Надеюсь я достаточно подробно описал ситуацию. Лог файлов был сделал программами с вашего сайта.

Уважаемый(ая) [B]yariy13[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Извините за долгий ответ. Программа делала сканирование 10 часов.

До вашего сообщения, провел тщательную чистку реестра и системы в безопасном режиме и удалил все ключи и файлы, которые хоть как-то были связны с RMS. Затем провел сканирование dr. web cureit было найдено 3 трояна и несколько кейлогеров. После провел сканирование ESET Online Scanner, было найдено 30 вирусов, среди которых было несколько файлов с меткой "RemoteAdmin". Все зараженные файлы я удалил. После всего этого почистил программой CCleaner.
После перезагрузки, система не выдавала никаких ошибок и работала стабильно. Также не было обнаружено запуска тех самых процессов RMS на протяжении суток при активном соединении с Интерном. Правда сеть была другая. Сейчас пока пишу вам это сообщение со своей родной сети, ничего подозрительного не происходит.

Могу ли я быть уверен, что вирус удален с моего компьютера? И как избежать повторного заражения в дальнейшем? У меня стоит Kaspersky Internet Security 2013, защитник и брандмауэр Windows отключены.

Ничего плохого в логах

Появилась проблема, которую я описывал выше. Сайт [url]https://www.cia.gov/[/url] снова считается не безопасным. Если нажать продолжить, то открывается окно в котором просят обновить adobe flash player, если пройти по ссылки, то кидает на сайт с загрузкой того самого вируса RMS. В других браузера тоже самое.
Что с этим можно сделать?
Прилагаю скриншот.
[ATTACH=CONFIG]474603[/ATTACH]

Интернет через роутер?

Нет. Прямое подключение через PPPOE.

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Готово.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Вое еще что заметил. Если раздавать интернет через wi-fi, то на подключенных устройствах выдает ту же ошибку с проблемой сертификата. Как в стандартном браузере, так и в Chrome на планшете. На телефоне в Opera Mobile тоже ошибка безопасности сертификата.
Если на телефоне подключится к мобильному интернету от МТС, то никаких ошибок нет. Друзья тоже говорят что у них все нормально заходит.