Доброго времени суток! В феврале обращался с похожей проблемой, тогда, как мне кажется все удалось исправить с вашей помощью. Сейчас каким-то образом восстановился у меня на компьютере удаленный доступ rutserv.exe, вместе с ним скорее всего и майнеры. Не дают получить доступ к антивирусным базам данным и сайтам. Стоит в автозагрузке С:\ProgramData\RealtekHD\taskhostw.exe, видимо он запускает всю цепочку событий, если удалить, то восстанавливается снова. В диспетчере задач висят (насколько могу понять) rutserv.exe, RealtekHD. Диспетчер задач ведет себя плохо: медленно открывается, не выводится в надлежащем виде и закрывается, когда захочет.
Еще не могу получить доступ к папкам, где засел вирус: С:\ProgramData\RealtekHD, С:\ProgramData\Windows, их не видно в проводнике, поэтому предполагаю, что как и в прошлый раз был создан дополнительный администратор с удаленным доступом.
(В прошлый раз была создана группа "администраторы", где был один пользователь 'john')
Последний раз редактировалось trupsaveman; 02.05.2021 в 05:50.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) trupsaveman, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
У Вас похоже майнер который блокируют доступ к антивирусным продуктам.
Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.
Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.
Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe
В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.
Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.
Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.
После того как пролечитесь им соберите свежие логи по правилам.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибо большое, что откликнулись!
Пролечил с помощью AVbr. RealtekHD пропал из автозагрузки, rutserv.exe пропал из диспетчера задач, папки, которые были созданы вирусом (на сколько я понял) были удалены. Файл hosts был сброшен до исходного состояния, пользователь John удален. Правда на страницу drWeb Cureit попасть все же не получается. Это все, что я смог зарегистрировать невооруженным взглядом.
Прикладываю логи из AutoLogger.
Последний раз редактировалось trupsaveman; 02.05.2021 в 05:57.
HiJackThis (из каталога autologger)профиксить Важно: необходимо отметить и профиксить только то, что указано ниже.
Код:
R3 - HKCU\..\URLSearchHooks: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
Файл hosts не был сброшен до исходного состояния согласно предоставленным логам, мы его сбросим в фиксе AVZ.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\dmitry\appdata\local\browserupdphenix\browserupdphenix.exe', '');
QuarantineFile('C:\WINDOWS\system32\systray.exe', '');
QuarantineFile('C:\Users\dmitry\appdata\roaming\djvuapp\djvuapp.exe', '');
DeleteFile('C:\Users\dmitry\appdata\local\browserupdphenix\browserupdphenix.exe', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
Последний раз редактировалось SQ; 02.05.2021 в 06:37.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Да, я сам прописал эти строки:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: [ProxyOverride] = *.local
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Para meters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac
Перед тем как выполнил скрипт в AVZ и после этого, заметил, что постоянно без повода выходит несколько окошек в одном, такого вида:
в шапке - Сжатые ZIP-папки
текст - Вставьте последний диск из многотомного набора и нажмите кнопку ОК.
Просто забыл об этом написать ранее, но это тоже появилось одновременно с майнерами.
Все сделал как вы написали.
Карантин отправил, лог AdwCleaner прикрепляю.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
- - - - -Добавлено - - - - -
Могли бы пожалуйста, мне отправить ссылку на ваши карантины в лс (личном сообщение).
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Удалил всё ненужное, прикрепляю архив с логами из AdwCleaner.
Пожалуйста, ответьте на следующие вопросы: выше вы писали про раздел лечения (в частности, «Помощь в удалении вредоносного ПО»), я не смог найти этот раздел/форум на сайте, и поиск по сайту не выдал ответа, уточните пожалуйста, где нужно найти этот раздел.
Второе: вы попросили прислать ссылку на карантины, о каких карантинах идет речь — из AutoLogger или из Adwcleaner, или из обеих программ сразу, и как мне безопасно и правильно отправить карантины вам? Могу отправить ссылку на архив с карантином через гугл диск.
Третье: я хотел бы воспользоваться услугой Помогите+, чтобы оплатить услуги помощи и разбора, как обезопасить компьютер, однако из-за новых правил пользования Pay Pal там теперь не дают отправить с российского на российский счёт, и я хотел узнать про другие возможности оплаты. Писал по почте в поддержку, но мне не ответили, к сожалению.
Спасибо за ответ!
Удалил всё ненужное, прикрепляю архив с логами из AdwCleaner.
Пожалуйста, ответьте на следующие вопросы: выше вы писали про раздел лечения (в частности, «Помощь в удалении вредоносного ПО»), я не смог найти этот раздел/форум на сайте, и поиск по сайту не выдал ответа, уточните пожалуйста, где нужно найти этот раздел.
Этот шаблон текста взят из другого форума (SZ), разработчика указаной утилиты.Вы можете проигнорировать это.
Сообщение от trupsaveman
Второе: вы попросили прислать ссылку на карантины, о каких карантинах идет речь — из AutoLogger или из Adwcleaner, или из обеих программ сразу, и как мне безопасно и правильно отправить карантины вам? Могу отправить ссылку на архив с карантином через гугл диск.
К сожалению на текущий момент на форуме не работает функционал просмотра карантина, из-за этого не возможно проанализировать ваш карантин. По этой причине я вас попросил отправить в лс (личным сообщением) ссылку на карантин (можно временно и на гуг диск), я как скачаю, я вам сообщу и вы можете сразу его удалить.
Сообщение от trupsaveman
Третье: я хотел бы воспользоваться услугой Помогите+, чтобы оплатить услуги помощи и разбора, как обезопасить компьютер, однако из-за новых правил пользования Pay Pal там теперь не дают отправить с российского на российский счёт, и я хотел узнать про другие возможности оплаты. Писал по почте в поддержку, но мне не ответили, к сожалению.
Спасибо за ответ!
К сожалению с этим вопросом я не помогу вам, попробуйте обратиться к администратору форума VI, через обратную связь.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
К сожалению гугле заблокировал указанный карантин, возможно необходимо указанный карантин еще раз заархивировать с другим паролем либо попробуйте добавить указанный карантин в следующее сообщение как вложение, я как скачаю удалю его. Спасибо.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
К сожалению на форуме приложение отправить не могу, вышел лимит хранимых вложений, а как их удалить я не знаю, поэтому отправил вам ссылку на гугле в лс.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Удалил старые вложения, спасибо, что объяснили как это сделать!
Сделал все как вы сказали, я так понимаю карантин отправлять не надо или сделать снова на облачный диск?
отправляю на всякий случай лог файл.
Еще хочу сказать что видел в логе из Autologger запущенный процесс C:\Users\dmitry\AppData\Local\Mail.Ru\mrkeeper.exe , он отображается как вирус в некоторых базах, да и от мэйла я ничего не использую, скорее всего вредоносное по. Подскажите пожалуйста каким образом его можно успешно удалить из системы?
Еще хочу сказать что видел в логе из Autologger запущенный процесс C:\Users\dmitry\AppData\Local\Mail.Ru\mrkeeper.exe , он отображается как вирус в некоторых базах,
Не похож , чтобы он был вирусом, скорее потенциально опасный файл, т.е. данный файл может отображать рекламу. Решать вам, если стоит удалить или нет.
В логах кроме активатора, ничего плохого нет.
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Спасибо вам большое за помощь! Компьютер работает исправно, всё в порядке за исключением парочки угроз:
объект: Browserupdphenix.exe
путь: C:\Users\dmitry\AppData\Local\Browserupdphenix
Понимаю, что это вряд ли можно увидеть и как-то отследить по логам, но есть ли у вас предположение, почему это произошло? Что-то осталось на компьютере с прошлого заражения в феврале (тема есть на форуме) или это новая угроза, загруженная из интернета?
но есть ли у вас предположение, почему это произошло? Что-то осталось на компьютере с прошлого заражения в феврале (тема есть на форуме) или это новая угроза, загруженная из интернета?
Как возможный вариант они пришли с активатором. Обычно майнеры устанавливаются с пиратским ПО.
завершающие шаги:
1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: