Удаленный доступ вирус rutserv.exe

[trupsaveman]

Доброго времени суток! В феврале обращался с похожей проблемой, тогда, как мне кажется все удалось исправить с вашей помощью. Сейчас каким-то образом восстановился у меня на компьютере удаленный доступ rutserv.exe, вместе с ним скорее всего и майнеры. Не дают получить доступ к антивирусным базам данным и сайтам. Стоит в автозагрузке С:\ProgramData\RealtekHD\taskhostw.exe, видимо он запускает всю цепочку событий, если удалить, то восстанавливается снова. В диспетчере задач висят (насколько могу понять) rutserv.exe, RealtekHD. Диспетчер задач ведет себя плохо: медленно открывается, не выводится в надлежащем виде и закрывается, когда захочет.
Еще не могу получить доступ к папкам, где засел вирус: С:\ProgramData\RealtekHD, С:\ProgramData\Windows, их не видно в проводнике, поэтому предполагаю, что как и в прошлый раз был создан дополнительный администратор с удаленным доступом.
(В прошлый раз была создана группа "администраторы", где был один пользователь 'john')

[Info_bot]

Уважаемый(ая) trupsaveman, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[SQ]

Здравствуйте,

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.

Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.


После того как пролечитесь им соберите свежие логи по правилам.

[trupsaveman]

Спасибо большое, что откликнулись!
Пролечил с помощью AVbr. RealtekHD пропал из автозагрузки, rutserv.exe пропал из диспетчера задач, папки, которые были созданы вирусом (на сколько я понял) были удалены. Файл hosts был сброшен до исходного состояния, пользователь John удален. Правда на страницу drWeb Cureit попасть все же не получается. Это все, что я смог зарегистрировать невооруженным взглядом.

Прикладываю логи из AutoLogger.

[SQ]

Сами прописывали?

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R3 - HKCU\..\URLSearchHooks: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask - {D2CBF5F7-5702-440B-8D8F-8203034A6B82},$(Arg0) - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)

Файл hosts не был сброшен до исходного состояния согласно предоставленным логам, мы его сбросим в фиксе AVZ.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\dmitry\appdata\local\browserupdphenix\browserupdphenix.exe', '');
 QuarantineFile('C:\WINDOWS\system32\systray.exe', '');
 QuarantineFile('C:\Users\dmitry\appdata\roaming\djvuapp\djvuapp.exe', '');
 DeleteFile('C:\Users\dmitry\appdata\local\browserupdphenix\browserupdphenix.exe', '');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[trupsaveman]

Да, я сам прописал эти строки:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: [ProxyOverride] = *.local
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Para meters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

Перед тем как выполнил скрипт в AVZ и после этого, заметил, что постоянно без повода выходит несколько окошек в одном, такого вида:
в шапке - Сжатые ZIP-папки
текст - Вставьте последний диск из многотомного набора и нажмите кнопку ОК.

Просто забыл об этом написать ранее, но это тоже появилось одновременно с майнерами.

Все сделал как вы написали.
Карантин отправил, лог AdwCleaner прикрепляю.

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

- - - - -Добавлено - - - - -

Могли бы пожалуйста, мне отправить ссылку на ваши карантины в лс (личном сообщение).

[trupsaveman]

Удалил всё ненужное, прикрепляю архив с логами из AdwCleaner.

Пожалуйста, ответьте на следующие вопросы: выше вы писали про раздел лечения (в частности, «Помощь в удалении вредоносного ПО»), я не смог найти этот раздел/форум на сайте, и поиск по сайту не выдал ответа, уточните пожалуйста, где нужно найти этот раздел.

Второе: вы попросили прислать ссылку на карантины, о каких карантинах идет речь — из AutoLogger или из Adwcleaner, или из обеих программ сразу, и как мне безопасно и правильно отправить карантины вам? Могу отправить ссылку на архив с карантином через гугл диск.

Третье: я хотел бы воспользоваться услугой Помогите+, чтобы оплатить услуги помощи и разбора, как обезопасить компьютер, однако из-за новых правил пользования Pay Pal там теперь не дают отправить с российского на российский счёт, и я хотел узнать про другие возможности оплаты. Писал по почте в поддержку, но мне не ответили, к сожалению.
Спасибо за ответ!

[SQ]

Удалил всё ненужное, прикрепляю архив с логами из AdwCleaner.
Пожалуйста, ответьте на следующие вопросы: выше вы писали про раздел лечения (в частности, «Помощь в удалении вредоносного ПО»), я не смог найти этот раздел/форум на сайте, и поиск по сайту не выдал ответа, уточните пожалуйста, где нужно найти этот раздел.

Этот шаблон текста взят из другого форума (SZ), разработчика указаной утилиты.Вы можете проигнорировать это.

Второе: вы попросили прислать ссылку на карантины, о каких карантинах идет речь — из AutoLogger или из Adwcleaner, или из обеих программ сразу, и как мне безопасно и правильно отправить карантины вам? Могу отправить ссылку на архив с карантином через гугл диск.

К сожалению на текущий момент на форуме не работает функционал просмотра карантина, из-за этого не возможно проанализировать ваш карантин. По этой причине я вас попросил отправить в лс (личным сообщением) ссылку на карантин (можно временно и на гуг диск), я как скачаю, я вам сообщу и вы можете сразу его удалить.

Третье: я хотел бы воспользоваться услугой Помогите+, чтобы оплатить услуги помощи и разбора, как обезопасить компьютер, однако из-за новых правил пользования Pay Pal там теперь не дают отправить с российского на российский счёт, и я хотел узнать про другие возможности оплаты. Писал по почте в поддержку, но мне не ответили, к сожалению.
Спасибо за ответ!

К сожалению с этим вопросом я не помогу вам, попробуйте обратиться к администратору форума VI, через обратную связь.

[trupsaveman]

Спасибо большое, что все разъяснили! Отправил вам ссылку на карантин в лс.

[SQ]

К сожалению гугле заблокировал указанный карантин, возможно необходимо указанный карантин еще раз заархивировать с другим паролем либо попробуйте добавить указанный карантин в следующее сообщение как вложение, я как скачаю удалю его. Спасибо.

[trupsaveman]

К сожалению на форуме приложение отправить не могу, вышел лимит хранимых вложений, а как их удалить я не знаю, поэтому отправил вам ссылку на гугле в лс.

[SQ]

Спасибо, я удачно скачал, можете удалять.

- - - - -Добавлено - - - - -

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[trupsaveman]

Сделал как вы сказали, прикладываю архив с логами.

[SQ]

Удалите старые вложения Мой кабинет => Вложения

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  
  Код:

  Start::
  CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Windows\[email protected]
  File: C:\Windows\SOINTGR.EXE
  File: C:\WINDOWS\trayhook.dll
  File: C:\Users\dmitry\appdata\roaming\djvuapp\djvuapp.exe
  Zip: C:\Windows\[email protected]; C:\Windows\SOINTGR.EXE; C:\WINDOWS\trayhook.dll; C:\Users\dmitry\appdata\roaming\djvuapp\djvuapp.exe
  Task: {07594B96-C07F-4AC2-A54F-612ACC0FA727} - \KMSAutoNet -> Нет файла <==== ВНИМАНИЕ
  File: C:\Windows\AutoKMS\AutoKMS.exe
  CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof]
  CHR HKLM-x32\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
  CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
  CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
  CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp]
  CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
  File: C:\Program Files\Microsoft MPI\Bin\msmpilaunchsvc.exe
  File: C:\Program Files (x86)\Windows Kits\10\Testing\Runtimes\TAEF\Wex.Services.exe
  S2 DXSOFTIO; отсутствует ImagePath
  Folder: C:\Program Files\RDP Wrapper
  CMD: type C:\WINDOWS\QTSXXDRY.INI
  CMD: type C:\Users\dmitry\AppData\Local\katesyntaxhighlightingrc
  File: C:\WINDOWS\lsb_un20.exe
  File: C:\WINDOWS\PE_Rom.dll
  File: C:\WINDOWS\SECOH-QAD.dll
  File: C:\WINDOWS\SECOH-QAD.exe
  File: C:\WINDOWS\trayhook.dll
  File: C:\WINDOWS\SysWOW64\CCNSMT.dll
  File: C:\WINDOWS\system32\systray.exe
  ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
  ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
  ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
  ContextMenuHandlers1_S-1-5-21-3562957426-1703372050-3967501996-1001: [          kopenwpsshellext] -> {66A22D9E-7C6D-4641-BBD7-E6C738CF32B0} =>  -> Нет файла
  ContextMenuHandlers4_S-1-5-21-3562957426-1703372050-3967501996-1001: [          kopenwpsshellext] -> {66A22D9E-7C6D-4641-BBD7-E6C738CF32B0} =>  -> Нет файла
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[trupsaveman]

Удалил старые вложения, спасибо, что объяснили как это сделать!

Сделал все как вы сказали, я так понимаю карантин отправлять не надо или сделать снова на облачный диск?
отправляю на всякий случай лог файл.

Еще хочу сказать что видел в логе из Autologger запущенный процесс C:\Users\dmitry\AppData\Local\Mail.Ru\mrkeeper.exe , он отображается как вирус в некоторых базах, да и от мэйла я ничего не использую, скорее всего вредоносное по. Подскажите пожалуйста каким образом его можно успешно удалить из системы?

[SQ]

Еще хочу сказать что видел в логе из Autologger запущенный процесс C:\Users\dmitry\AppData\Local\Mail.Ru\mrkeeper.exe , он отображается как вирус в некоторых базах,

Не похож , чтобы он был вирусом, скорее потенциально опасный файл, т.е. данный файл может отображать рекламу. Решать вам, если стоит удалить или нет.

В логах кроме активатора, ничего плохого нет.

Сообщите, что с проблемой?

[trupsaveman]

Спасибо вам большое за помощь! Компьютер работает исправно, всё в порядке за исключением парочки угроз:
объект: Browserupdphenix.exe
путь: C:\Users\dmitry\AppData\Local\Browserupdphenix


объект: 2021-05-02_06-54_hosts.bak
путь: C:\Windows\System32\drivers\etc

нашёл их через dr.web, удалить их через него же?

Понимаю, что это вряд ли можно увидеть и как-то отследить по логам, но есть ли у вас предположение, почему это произошло? Что-то осталось на компьютере с прошлого заражения в феврале (тема есть на форуме) или это новая угроза, загруженная из интернета?

[SQ]

объект: Browserupdphenix.exe
путь: C:\Users\dmitry\AppData\Local\Browserupdphenix


объект: 2021-05-02_06-54_hosts.bak
путь: C:\Windows\System32\drivers\etc

можете удалить вручную.

но есть ли у вас предположение, почему это произошло? Что-то осталось на компьютере с прошлого заражения в феврале (тема есть на форуме) или это новая угроза, загруженная из интернета?

Как возможный вариант они пришли с активатором. Обычно майнеры устанавливаются с пиратским ПО.


завершающие шаги:
1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[trupsaveman]

Спасибо, сделал все по пунктам.

Посмотрел лог SecurityCheck, заметил там несколько вредоносных программ в разделе нежелательных, подскажите пожалуйста как с ними поступить?

Лог прикрепляю.