Неизвестный пользователь использует RMS для управления моим компьютером. [not-a-virus:RemoteAdmin.Win32.RMS.pr, not-a-virus:HEUR:RemoteAdmin.Win32.Agent.gen ]

**EtoPashka** · 21.11.2016, 19:54

Сегодня, когда я сидел за компьютером, у меня появилось диалоговое окно "RMS - чат", в котором мне писал другой пользователь. Поскольку с данными ситуациями я ещё не сталкивался, то общения с ним не начинал, а лишь выяснил, что он взломал мой компьютер, используя RMS. После этого я выключал компьютер и наткнулся на ваш сайт через смартфон. Надеюсь, что совместно мы сможем решить данную проблему. Прикрепил 2 файла. (У меня 64-х разрядная система, поэтому 1 пункт я пропустил)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 21.11.2016, 19:55

Уважаемый(ая) Паша Османов, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Никита Соловьев** · 21.11.2016, 21:32

Выполните скрипт в AVZ:

Код:

BEGIN
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\windowsvolume\volumedisk.exe');
 QuarantineFile('C:\Users\Pavel\AppData\Roaming\Browsers\exe.resworb.bat','');
 QuarantineFile('C:\Users\Pavel\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Pavel\AppData\Roaming\Browsers\exe.emorhc.bat','');
 QuarantineFile('c:\programdata\windowsvolume\volumedisk.exe','');
 QuarantineFile('c:\programdata\windowsvolume\sysdisk.exe','');
 DeleteFile('c:\programdata\windowsvolume\sysdisk.exe','32');
 DeleteFile('c:\programdata\windowsvolume\volumedisk.exe','32');
 DeleteFile('C:\Users\Pavel\AppData\Roaming\Browsers\exe.emorhc.bat','32');
 DeleteFile('C:\Users\Pavel\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Users\Pavel\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFileMask('C:\Users\Pavel\AppData\Roaming\Browsers','*.bat',false);
 DeleteFileMask('c:\programdata\windowsvolume','*',true);
 DeleteDirectory('c:\programdata\windowsvolume');
 ExecuteSysClean;
 ExecuteWizard('SCU',2,2,false);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
 RebootWindows(true);
END.

_________________________________________

> Компьютер будет перезагружен.

> Кэш и cookie-файлы браузеров будут очищены. Может потребоваться вход в аккаунты.

> Используйте ссылку "Прислать запрошенный карантин", которая находится над первым сообщением этой темы, чтобы прислать quarantine.zip.

> Сделайте новый отчеты AVZ.

> Сделайте отчет программы Check Browsers' LNK.

**EtoPashka** · 21.11.2016, 21:33

Сообщение от Паша Османов

Сегодня, когда я сидел за компьютером, у меня появилось диалоговое окно "RMS - чат", в котором мне писал другой пользователь. Поскольку с данными ситуациями я ещё не сталкивался, то общения с ним не начинал, а лишь выяснил, что он взломал мой компьютер, используя RMS. После этого я выключал компьютер и наткнулся на ваш сайт через смартфон. Надеюсь, что совместно мы сможем решить данную проблему. Прикрепил 2 файла. (У меня 64-х разрядная система, поэтому 1 пункт я пропустил)

UPD: Обнаружил приложение RDP, которое, как я понял, связано с удалённым управлением. По-моему на данный момент она не установлена. Файл приложения просто удалил. Неделю назад у меня также появился какой-то пользователь с правами администратора. Эта программа была установлена от его имени. Её и связанные с ней файлы я удалял с помощью Revo Uninstaller Pro. Возможна, эта доп. информация будет полезна.

**Никита Соловьев** · 21.11.2016, 21:37

Сообщение от Паша Османов

UPD: Обнаружил приложение RDP, которое, как я понял, связано с удалённым управлением. По-моему на данный момент она не установлена. Файл приложения просто удалил. Неделю назад у меня также появился какой-то пользователь с правами администратора. Эта программа была установлена от его имени. Её и связанные с ней файлы я удалял с помощью Revo Uninstaller Pro. Возможна, эта доп. информация будет полезна.

Смотрите мой ответ выше. Давайте действовать последовательно.

**EtoPashka** · 21.11.2016, 21:44

Проделал всё Вами сказанное.

**Никита Соловьев** · 21.11.2016, 22:22

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

**EtoPashka** · 21.11.2016, 22:33

Вот.

**Никита Соловьев** · 21.11.2016, 23:05

Дайвайте ещё проверим отчет
ADWCleaner.

**EtoPashka** · 21.11.2016, 23:09

Вот отчёт.

**Никита Соловьев** · 21.11.2016, 23:11

Если Mail.Ru Агент используется — снимите соотв. метку.
Удалите всё, что обнаружила программа согласно инструкции.

Сообщите, решена ли проблема.

**EtoPashka** · 21.11.2016, 23:26

Удалил все файлы. К сожалению, не могу точно сказать, решена ли проблема - не знаю, имеет ли тот пользователь до сих пор удалённый доступ к моему компьютеру или нет. Но в течение последних часов ничего подозрительного не наблюдалось. В любом случае, я Вам премного благодарен за оказанную помощь. Был бы рад узнать несколько советов, если таковые имеются.

**Никита Соловьев** · 21.11.2016, 23:34

Сообщение от Паша Османов

не знаю, имеет ли тот пользователь до сих пор удалённый доступ к моему компьютеру или нет

Вредоносная программа, осуществляющая RMS соединение была удалена.

**EtoPashka** · 21.11.2016, 23:37

Эта программа и была моей проблемой. Так что удаление программы - её решение. Ещё раз благодарю за оказанную помощь.

**Никита Соловьев** · 21.11.2016, 23:38

Сообщение от Паша Османов

Был бы рад узнать несколько советов, если таковые имеются.

Что Вас интересует?

**EtoPashka** · 21.11.2016, 23:40

Если конкретно, то каким образом лучше всего проверять компьютер на наличие вредоносных программ?

**Никита Соловьев** · 21.11.2016, 23:45

Сообщение от Паша Османов

Если конкретно, то каким образом лучше всего проверять компьютер на наличие вредоносных программ?

Наш метод наиболее эффективный, причём не реклама, а опыт и статистика это доказывают.

У нас имеются следующие возможности:

VirusDetector — бесплатный анализ системы на наличие вредоносного/рекламного/шпионского ПО.

Аудит безопасности — анализ состояния безопасности ОС Windows, рекомендации по обновлению и прочее. (услуга по подписке)

+ Ваша антивирусная программа с актуальными базами.

**EtoPashka** · 21.11.2016, 23:58

Хорошо, буду знать. Огромное Вам спасибо. Думаю, на этом тему можно закрывать.

**CyberHelper** · 22.11.2016, 00:08

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\windowsvolume\sysdisk.exe - not-a-virus:HEUR:RemoteAdmin.Win32.Agent.gen
2. c:\programdata\windowsvolume\volumedisk.exe - not-a-virus:RemoteAdmin.Win32.RMS.pr

Неизвестный пользователь использует RMS для управления моим компьютером. [not-a-virus:RemoteAdmin.Win32.RMS.pr, not-a-virus:HEUR:RemoteAdmin.Win32.Agent.gen ] (заявка № 206082)

Опции темы