Вирус rutserv

Printable View

28.09.2021, 20:31
Джови

Вирус rutserv

Здравствуйте, помогите пожалуйста. Поймал вирус rutserv исходит от службы Remote Manipulator System.
Я хотел скачать вашу программу для проверки компьютера чтобы скинуть вам , но не даёт зайти на ваш сайт. Не могу зайти на доктор веб и другие антивирусы. Что мне делать? В крайнем случае поможет ли переустановка виндовса? Спасибо заранее за помощь. Смог сделать логи. Скину сейчас. Чтобы облегчить вам работу я проверил другие статьи. Скачал AVbr. Провел все действия , компьютер перезагрузился и , о боги, я могу зайти на сайт доктор веб. Что мне дальше делать? Виндоус дефендер до сих пор выключен. Сейчас соберу свежие логи и скину.
28.09.2021, 20:38
Info_bot

Уважаемый(ая) [B]Джови[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
28.09.2021, 21:49
Vvvyg

Скачайте, распакуйте и запустите [URL="https://bit.ly/3sxnX3j"]утилиту AV block remove[/URL], следуйте инструкциям.
Файл [B]AV_block_remove.log[/B] из папки с программы прикрепите к своему сообщению.

Потом пробуйте сделать логи по правилам.
28.09.2021, 22:04
Джови

Вложений: 2

Вот вроде бы
29.09.2021, 07:34
Vvvyg

Выполнять рекомендации нужно было в том порядке, в котором они даны, а не наоборот. По логам Autologger надо было убедиться, что AV_block_remove отработал нормально.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
29.09.2021, 16:06
Джови

Вложений: 1

Вот сделал как просили. Спасибо, что помогаете:) Я не сильно разбираюсь поэтому мог до этого сделать что-то неправильно или наоборот, извиняюсь.
29.09.2021, 17:29
Vvvyg

А этот майнер аж с прошлого года - ваш, знаете его?[CODE]C:\Program Files\qemu\Host Services x64.exe [/CODE]

И пользователи в системе известны?
05C26CCBCC2148C5BEA7
7EC2B785AEA740F8A98C
29.09.2021, 17:34
Джови

Неизвестны. И про майнер не знал. А как его удалить? Доктор веб не определил, а пользователи неизвестны для меня. Он у меня еще в автозагрузках есть. Убрать или нет? Вот точно такое же название. И есть еще один файлик там же с таким же названием Host Services 64.exe , но без x
29.09.2021, 17:59
Vvvyg

Тогда чистим и это всё тоже.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Systemrestore: on
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2694315124-1141212807-181068091-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
S2 SystemServices; C:\Program Files\qemu\SystemServices.exe [122368 2020-01-08] () [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\qemu
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Host Services x64.lnk [2020-08-01]
ShortcutTarget: Host Services x64.lnk -> C:\Program Files\qemu\Host Services x64.exe () [Файл не подписан]
Unlock: C:\WINDOWS\system32\Drivers\96de89cc5.sys
File: C:\WINDOWS\system32\Drivers\96de89cc5.sys
Virustotal: C:\WINDOWS\system32\Drivers\96de89cc5.sys
2021-09-28 22:17 - 2021-09-28 22:18 - 000000000 ____D C:\AdwCleaner
2020-07-26 17:03 - 2021-06-18 09:36 - 000000080 _____ () C:\Users\Axe\AppData\Roaming\msregsvv.dll
2020-11-26 21:28 - 2020-11-26 21:54 - 000000051 ___SH () C:\Users\Axe\AppData\Local\3cf976315767f8122bb7d7.09207887
2020-11-26 21:50 - 2020-11-28 00:16 - 000000051 ___SH () C:\Users\Axe\AppData\Local\6eebc2b1598089f38a4759.67408981
2020-11-25 20:53 - 2020-11-26 21:55 - 000000051 ___SH () C:\Users\Axe\AppData\Local\7368ee7c5a2e9307a4d700.36580646
2020-11-25 20:47 - 2020-11-25 20:48 - 000000051 ___SH () C:\Users\Axe\AppData\Local\78a0e7c359f32e31311c98.97329581
2020-11-25 20:53 - 2020-11-26 21:54 - 000000051 ___SH () C:\Users\Axe\AppData\Local\dh3drp3dex4qjdyvz3zwwjh5a7xtbdq
2020-11-25 20:53 - 2020-12-01 19:40 - 000000051 ___SH () C:\Users\Axe\AppData\Local\omooip4754nigh23mgkys2wsoylh7sq
CustomCLSID: HKU\S-1-5-21-2694315124-1141212807-181068091-1001_Classes\CLSID\{24734139-2E14-88F8-FDDF-194FDB2B19C4}\InprocServer32 -> отсутствует путь к файлу
ContextMenuHandlers2: [SecureExt] -> {D23C3BA7-6DC3-4DDF-9BDF-12599E852A40} => -> Нет файла
AlternateDataStreams: C:\ProgramData:38B9AE83722F7F7B [217]
CMD: net user 05C26CCBCC2148C5BEA7 /delete
CMD: net user 7EC2B785AEA740F8A98C /delete
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
29.09.2021, 18:09
Джови

Вложений: 1

Я сделал. Компьютер перезагрузился. Вот фикслог
29.09.2021, 18:50
Vvvyg

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Если не войдёт во вложения - в облако и ссылку сюда.
29.09.2021, 19:29
Джови

Вложений: 1

Все верно? Надеюсь.
29.09.2021, 20:47
Vvvyg

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.11.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
delall %Sys32%\DRIVERS\96DE89CC5.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.8.1.468\SERVICE_UPDATE.EXE
del %SystemDrive%\USERS\AXE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\VKONTAKTE DJ.LNK
del %SystemDrive%\USERS\AXE\DESKTOP\VKONTAKTE DJ.LNK
delref ADVANCED SYSTEM OPTIMIZER - SECUREDELETESHELLEXT EXTENSION\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE
apply
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
29.09.2021, 21:37
Джови

Вложений: 1

Сделал.
29.09.2021, 21:44
Vvvyg

Порядок, все майнеры зачищены.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
29.09.2021, 21:58
Джови

Спасибо огромное! Вы просто лучшие.