Tdun.exe [HEUR:Trojan-Spy.Win32.Convagent.gen, not-a-virus:RemoteAdmin.Win32.RDP= Wrap.h]

Printable View

07.01.2021, 19:12
Desteeerslav

Tdun.exe [HEUR:Trojan-Spy.Win32.Convagent.gen, not-a-virus:RemoteAdmin.Win32.RDP= Wrap.h]

Добрый вечер, уважаемые специалисты форума!
Пишу Вам с просьбой избавить мой компьютер от вируса - tdun.exe.

Симптомы: подтормаживания и подвисания компьютера, шумная работа ПК, заблокирован доступ на все антивирусные ресурсы, вылетает браузер Yandex(либо сам вирус умышленно закрывает его), файл hosts скрыт и не виден в папке даже если поставить в настройках показ скрытых файлов и папок, препятствует работе avz и иных антивирусных утилит.

Что сделал и что обнаружил:
1) в автозагрузке есть данный вирус tdun.exe
2) в диспетчере задач также присутствует tdun.exe
3) пробовал открыть в проводнике файл hosts по пути, открывался оригинал данного файла где и были прописаны все заблокированные антивирусные ресурсы, стирание строчек не принесло результата, так как не давал сохранить изменения в файле.
4) в безопасном режиме выполнил сканирование с помощью autologger.
5) диспетчер задач показал, что местоположение файла tdun.exe следующее C:\ProgramData\bebca3bc90

Очень прошу помочь, работать просто невыносимо.
07.01.2021, 19:14
Info_bot

Уважаемый(ая) [B]Desteeerslav[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
08.01.2021, 00:18
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
PD_folders:= TStringList.Create;
PD_folders.Add('bebca3bc90');
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('Kaspersky Lab Setup Files');
PD_folders.Add('Kaspersky Lab');
PD_folders.Add('MB3Install');
PD_folders.Add('Malwarebytes');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('Doctor Web');
PF_folders:= TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('Zaxar');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Kaspersky Lab');
PF_folders.Add('Malwarebytes');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders:= TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
A: integer;
s: string;
r: boolean;
begin
for i:= 0 to AFL.Count - 1 do
begin
fname:= NormalDir(path + AFL[i]);
r:= False;
if DirectoryExists(fname)
then
begin
s:= 'Found ' + fname + ' (';
A:= GetAttr(fname);
if A and 4 = 4
then
begin
r:= True;
s:= s + 'S';
end;
if A and 2 = 2
then
begin
r:= True;
s:= s + 'H';
end;
s:= s + 'D)';
AddToLog(s);
QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask(fname, '*', true);
if r then FSResetSecurity(fname);
DeleteDirectory(fname);
end;
end;
end;

procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure AV_block_remove;
begin
Clearlog;
FillList;
ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
ProgramFiles:= NormalDir('%PF%');
ProgramFiles86:= NormalDir('%PF% (x86)');
Del_folders(ProgramData, PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
then
begin
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
end;
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
end;

begin
QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','');
QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe','');
QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe','');
QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
DeleteService('RManService');
QuarantineFile('C:\ProgramData\Windows\rutserv.exe','');
DeleteFile('C:\ProgramData\Windows\rutserv.exe','32');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
DeleteFile('C:\Programdata\WindowsTask\winlogon.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Wininet\Cleaner','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl','64');
DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Wininet\Taskhost','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Wininet\Taskhostw','64');
DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','32');
DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll','32');
AV_block_remove;
fname:= ProgramData + 'RDPWinst.exe';
if FileExists(fname) then DeleteFile(fname);
ExecuteSysClean;
SaveLog(GetAVZDirectory +'AV_block_remove.log');
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]
08.01.2021, 00:44
Desteeerslav

Прикладываю отчёт после выполненных действий
08.01.2021, 01:30
thyrex

Логи уже нужно выполнять в обычном режиме.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.
08.01.2021, 01:50
Desteeerslav

Вложений: 2

Перевыполнил сканирование autologger (из обычного режима) и выполнил сканирование farbar'om. Архивы прикладыаю
08.01.2021, 02:05
thyrex

SpyHunter 5 удалите через Установку программ.

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Task: {0C6B9C86-8FCA-43BB-986F-3149A7398A5F} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
Task: {69EE2D9C-691C-45A0-ABC9-A13ED8F02485} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
Task: {6C905B9A-E816-406F-ABDE-8DCE8B35968F} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
Task: {FBD4AB00-1609-4D5B-9D20-925E96F86C4C} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
Task: {FF91F3AA-FFEB-4F7B-8444-B62AC23B2C02} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
2021-01-07 00:00 - 2019-06-05 10:45 - 000000053 _____ C:\WINDOWS\WrpYGF74DrEm.ini
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> No File
ContextMenuHandlers1: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => K:\Winrar\rarext.dll -> No File
ContextMenuHandlers1-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => K:\Winrar\rarext32.dll -> No File
ContextMenuHandlers2: [DaemonShellExtDriveLite] -> {C06369D6-E77D-4626-9656-1256312BD576} => K:\DT\dtshl64.dll -> No File
ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => -> No File
ContextMenuHandlers3: [DaemonShellExtImageLite] -> {1D1B5D7B-0FC9-452E-902C-12BACD4FBC20} => K:\DT\dtshl64.dll -> No File
ContextMenuHandlers4: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => -> No File
ContextMenuHandlers6: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => -> No File
ContextMenuHandlers6: [WinRAR] -> {B41DB860-64E4-11D2-9906-E49FADC173CA} => K:\Winrar\rarext.dll -> No File
ContextMenuHandlers6-x32: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => K:\Winrar\rarext32.dll -> No File
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [293]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [293]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [293]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [293]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [293]
AlternateDataStreams: C:\Users\shtat\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\shtat\Application Data:NT [40]
AlternateDataStreams: C:\Users\shtat\Application Data:NT2 [293]
AlternateDataStreams: C:\Users\shtat\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\shtat\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\shtat\AppData\Roaming:NT2 [293]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [293]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [293]
FirewallRules: [{AB1E7F0D-B0FF-46BE-9222-9A9314B938B5}] => (Allow) L:\Dont Starve Together\bin\dontstarve_dedicated_server_nullrenderer.exe => No File
FirewallRules: [{F4FA1EC8-1BCC-498F-81E5-18FA0E064CC3}] => (Allow) L:\Dont Starve Together\bin\dontstarve_dedicated_server_nullrenderer.exe => No File
FirewallRules: [{DB8EF8CF-164C-4FCB-A5CE-4A62C9EE7B8A}] => (Allow) L:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => No File
FirewallRules: [{C717C4EB-6CD0-4F5F-A5F0-9A76ADDB253E}] => (Allow) L:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x86\eurotrucks2.exe => No File
FirewallRules: [{6D3CAFED-8C33-4A9F-A027-40A048F7BDF7}] => (Allow) L:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => No File
FirewallRules: [{F00A7E99-12E3-4ACF-A786-5C3F328D7EB7}] => (Allow) L:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => No File
FirewallRules: [{CAEFA3DA-F2BA-4E9A-843B-50D71271F62A}] => (Allow) K:\DT\DiscSoftBusServiceLite.exe => No File
FirewallRules: [{F5330389-11DC-407F-A429-91414DD159B4}] => (Allow) K:\DT\DiscSoftBusServiceLite.exe => No File
FirewallRules: [{F5830596-E06A-41A4-8812-06BF8BFA73DE}] => (Block) K:\Forza Horizon 4\FH4\Microsoft.SunriseBaseGame_1.332.904.2_x64__8wekyb3d8bbwe.exe => No File
FirewallRules: [{9E2AD43C-B799-4533-98E9-9C44AF541126}] => (Block) K:\Forza Horizon 4\FH4\Microsoft.SunriseBaseGame_1.332.904.2_x64__8wekyb3d8bbwe.exe => No File
FirewallRules: [{52F4B897-0951-43B4-A900-15E142955445}] => (Allow) K:\Forza Horizon 4\FH4\Microsoft.SunriseBaseGame_1.332.904.2_x64__8wekyb3d8bbwe.exe => No File
FirewallRules: [{901CBD50-E629-46B6-B0E7-5AC850978301}] => (Allow) K:\SteamLibrary\steamapps\common\Apex Legends\EasyAntiCheat_launcher.exe => No File
FirewallRules: [{823CF6D2-82F3-4F50-88CA-46DF7793742A}] => (Allow) K:\SteamLibrary\steamapps\common\Apex Legends\EasyAntiCheat_launcher.exe => No File
FirewallRules: [{807F725D-2413-430A-B7EE-57A4D00C3686}] => (Allow) K:\SteamLibrary\steamapps\common\Unturned\Unturned_BE.exe => No File
FirewallRules: [{CF0F997A-A0BF-43F0-90DC-4B89145F589A}] => (Allow) K:\SteamLibrary\steamapps\common\Unturned\Unturned_BE.exe => No File
FirewallRules: [{96052DBB-2D37-4561-9713-A122302A3BE6}] => (Allow) K:\SteamLibrary\steamapps\common\Unturned\Unturned.exe => No File
FirewallRules: [{9DBF3C0A-F952-4D8D-8A10-EF10BA56F21F}] => (Allow) K:\SteamLibrary\steamapps\common\Unturned\Unturned.exe => No File
FirewallRules: [{A252F88F-6584-4997-82BE-280C6514E75E}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{F93394F5-5E4B-48A6-98B0-5684656042E6}] => (Block) LPort=445
FirewallRules: [{F8A7CE9C-35C1-4192-87A9-D1351623A19A}] => (Block) LPort=139
FirewallRules: [{2B89F1BC-82F0-4639-A393-08F9AB6348B4}] => (Block) LPort=139
FirewallRules: [{0B11DED2-CBBC-483A-9C51-5D85E20A4840}] => (Block) LPort=445
FirewallRules: [{E7885E1A-C1DD-4EC7-9936-2C2418CF49DA}] => (Allow) LPort=3389
FirewallRules: [{70EDD723-3A0D-4310-9917-D495A62C56CE}] => (Allow) LPort=3389
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
08.01.2021, 02:15
Desteeerslav

Вложений: 1

Готово.
08.01.2021, 09:04
thyrex

Проблема решена?
08.01.2021, 13:16
Desteeerslav

Проблема решена отчасти, компьютер стал работать тише, подвисания пропали, из процессов и автозагрузки tdun.exe пропал. Однако, доступ к антивирусным ресурсам все равно закрыт.
08.01.2021, 14:56
thyrex

Выполните скрипт в AVZ из папки Autologger
[code]begin
ExecuteRepair(13);
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

А теперь?
08.01.2021, 15:32
Desteeerslav

Огромное Вам спасибо!
Теперь все отлично, доступ к сайтам вернулся и компьютер заработал как новый :)
Последний вопрос: Вы бы не могли дать рекомендации по поводу ПО, которое бы противодействовало подобным вирусам и в случае необходимости их лечило? (Понимаю, что вопрос глупый и здесь напрашивается ответ лишь один: антивирус. Но тем не менее, spyHunter вы рекомендовали удалить, а использование AVZ такому юзьверю как я может лишь навредить системе...)
08.01.2021, 18:00
thyrex

SpyHunter - это лже-полезняшка, которая в бесплатной версии найдет гору "вирусов", но для их удаления попросит купить лицензию.

[quote="Desteeerslav;1517401"]Вы бы не могли дать рекомендации по поводу ПО, которое бы противодействовало подобным вирусам и в случае необходимости их лечило?[/quote]К сожалению, авторы этого майнера пока успешно обходят любые антивирусные защиты. Так что тут трудно что-то посоветовать для защиты, кроме как быть аккуратными при скачивании программ из Интернета.

А в последних версиях еще и шпионский функционал добавлен. Потому незамедлительно необходимо сменить все пароли.
08.01.2021, 19:42
Desteeerslav

Еще раз премного Вам благодарен за помощь!
08.01.2021, 19:52
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]20[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\program files\rdp wrapper\rdpwrap.dll - [B]not-a-virus:Remot=
eAdmin.Win32.RDPWrap.h[/B][*] c:\programdata\bebca3bc90\tdun.exe - [B]HEUR:Trojan-Downloader.=
Win32.Deyma.gen[/B] ( AVAST4: Win32:PWSX-gen [Trj] )[*] c:\programdata\install\utorrent.exe - [B]Trojan-PSW.Win32.Delf.=
aidq[/B][*] c:\programdata\realtekhd\taskhost.exe - [B]Trojan.Win32.Autoit.=
acbae[/B][*] c:\programdata\realtekhd\taskhostw.exe - [B]UDS:Trojan.Win32.Mi=
ner[/B] ( AVAST4: Win64:Malware-gen )[*] c:\programdata\setup\update.exe - [B]UDS:Trojan.Win32.Miner[/B]=
[*] c:\programdata\windows\install.bat - [B]Trojan.BAT.Agent.bhf[/B=
] ( AVAST4: Other:Malware-gen [Trj] )[*] c:\programdata\windows\install.vbs - [B]Trojan.VBS.Starter.mj[/=
B][*] c:\programdata\windows\rutserv.exe - [B]Backdoor.Win32.RMS.pn[/=
B] ( BitDefender: Trojan.GenericKD.3007448 )[*] c:\programdata\windowstask\appmodule.exe - [B]HEUR:Trojan.Win32=
=2EMiner.gen[/B] ( AVAST4: Win64:CoinminerX-gen [Trj] )[*] c:\programdata\windowstask\audiodg.exe - [B]HEUR:Trojan-Spy.Win=
32.Convagent.gen[/B] ( BitDefender: Gen:Trojan.Heur.AutoIT.2, AVAST4: =
Win32:Malware-gen )[*] c:\programdata\windowstask\microsofthost.exe - [B]HEUR:Trojan.W=
in32.Miner.gen[/B] ( AVAST4: Win64:CoinminerX-gen [Trj] )[*] c:\programdata\windowstask\sys.exe - [B]HEUR:Trojan-Downloader.=
Win32.Deyma.gen[/B] ( AVAST4: Win32:PWSX-gen [Trj] )[*] c:\programdata\windowstask\winlogon.exe - [B]Trojan.Win32.Autoi=
t.acbae[/B] ( AVAST4: Win32:Malware-gen )[*] c:\programdata\windowstask\xmrig-cuda.dll - [B]not-a-virus:HEUR=
:RiskTool.Win32.BitMiner.gen[/B] ( AVAST4: Win64:CoinminerX-gen [Trj] =
)[*] c:\rdp\rdpwinst.exe - [B]not-a-virus:RemoteAdmin.Win32.RDPWrap.h=
[/B][/LIST][/LIST]
=D0=E5=EA=EE=EC=E5=ED=E4=E0=F6=E8=E8:
[LIST=3D1][*]=CE=E1=ED=E0=F0=F3=E6=E5=ED=FB =F2=F0=EE=FF=ED=F1=EA=E8=E5 =EF=F0=EE=
=E3=F0=E0=EC=EC=FB =EA=EB=E0=F1=F1=E0 Trojan-PSW/Trojan-Spy - =ED=E0=F1=
=F2=EE=FF=F2=E5=EB=FC=ED=EE =F0=E5=EA=EE=EC=E5=ED=E4=F3=E5=F2=F1=FF =EF=
=EE=EC=E5=ED=FF=F2=FC =E2=F1=E5 =EF=E0=F0=EE=EB=E8 ![/LIST]