Компьютер подвисает на 5-10 секунд, интернет работает через раз. [not-a-virus:RemoteAdmin.Win32.RDPWrap.b, not-a-virus:RemoteAdmin.Win32.RDPWrap.h]

**Jag** · 03.10.2018, 20:00

Здравствуйте!
Компьютер то подвисает на пару секунд, то "дергается" каждые 2-3 секунды, особенно заметно в игре ARMA 3.
Интернет работает странно, как будто отключается на пару минут. Программа MTS connect (интернет через 3g модем) показывает что на upload 100-150 кбит/с, а на download 0. Chrome в это время пытается открыть страницы, но не может.
Avast free блокирует сетевые подключения к зараженному сайту.
Autologger вылетает после запуска avz. Avz с сайта z-oleg.com вылетает через 2-3 сек. после запуска.
Смог сделать логи остальных программ из autologger, запуская их вручную.
Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.10.2018, 20:01

Уважаемый(ая) Jag, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 04.10.2018, 06:12

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O23 - Service S2: Microsoft Framework - (RManService) - C:\Programdata\Windows\rutserv.exe (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 QuarantineFileF('C:\ProgramData\RealtekHD', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe','');
 QuarantineFileF('C:\ProgramData\WindowsTask', '*.exe,*.dll,*.sys', false,'', 0, 0);
 QuarantineFile('C:\Programdata\Windows\rutserv.exe','');
 QuarantineFileF('C:\Users\user\appdata\roaming\microsoft\sys32', '*.exe,*.dll,*.sys', false,'', 0, 0);
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
 DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe','32');
 DeleteFile('C:\Programdata\Windows\rutserv.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Jag** · 04.10.2018, 18:41

Скрипт выполнил, карантин загрузил.
При запуске adwcleaner-ошибка : "Эта программа заблокирована групповой политикой. Обратитесь к вашему системному администратору"

SQ · 04.10.2018, 19:07

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Jag** · 04.10.2018, 19:17

Скан сделал, прикрепил.

SQ · 04.10.2018, 19:40

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [2081280 2016-08-29] (Realtek Semiconductor)
File: C:\Program Files\Windows Identity Foundation\v3.5\c2wtshost.exe
File: C:\Windows\system32\wmassrv.dll
File: C:\games\ArtMoney\am74364.sys
U2 V2iMount; no ImagePath
2018-10-01 21:03 - 2018-10-04 19:35 - 000000000 __SHD C:\AdwCleaner
2018-10-01 21:03 - 2018-10-03 21:24 - 000000000 __SHD C:\KVRT_Data
2018-10-01 21:03 - 2018-10-03 00:34 - 000000000 __SHD C:\Users\Все пользователи\Windows
2018-10-01 21:03 - 2018-10-03 00:34 - 000000000 __SHD C:\ProgramData\Windows
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windowsdata
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\windowsnode
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\WindowsDefender
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\SysWOW64\xmr64
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\SysWOW64\xmr
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\SysWOW64\hs
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\SysWOW64\hhsm
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\min
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Windows\hs_module
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\WindowsSQL
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\windowsdriver
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Windowsdata
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Norton
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Install
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\GOOGLE
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Framework
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\ESET
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\DriversI
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Driver Foundation Visions VHG
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\DirectX11b
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\Cefunpacked
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\AudioHDriver
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\360safe
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Users\Все пользователи\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\WindowsSQL
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\windowsdriver
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Windowsdata
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Norton
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\McAfee
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Install
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\grizzly
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\GOOGLE
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Framework
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\ESET
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\DriversI
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Doctor Web
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\DirectX11b
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\Cefunpacked
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\AudioHDriver
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\360safe
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files\Malwarebytes
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files\ESET
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files\COMODO
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files\Cezurity
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files\AVG
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files (x86)\AVG
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\Program Files (x86)\360
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 __SHD C:\disk
Folder: C:\Windows\IIS
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 ____D C:\Windows\IIS
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 ____D C:\Users\Все пользователи\Indus
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 ____D C:\Users\Все пользователи\Avira
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 ____D C:\ProgramData\Indus
2018-10-01 21:03 - 2018-10-01 21:03 - 000000000 ____D C:\ProgramData\Avira
2018-10-01 21:02 - 2018-10-04 19:47 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2018-10-01 21:02 - 2018-10-04 19:47 - 000000000 __SHD C:\ProgramData\RunDLL
2018-10-01 21:02 - 2018-10-04 19:37 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2018-10-01 21:02 - 2018-10-04 19:37 - 000000000 __SHD C:\ProgramData\RealtekHD
2018-10-01 21:02 - 2018-10-04 18:59 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2018-10-01 21:02 - 2018-10-04 18:59 - 000000000 __SHD C:\ProgramData\WindowsTask
2018-10-01 21:02 - 2018-10-01 21:02 - 000000000 __SHD C:\Users\Все пользователи\System32
2018-10-01 21:02 - 2018-10-01 21:02 - 000000000 __SHD C:\ProgramData\System32
Folder: C:\Users\Jag\AppData\Roaming\Nbrt
Folder: C:\Program Files (x86)\nubia
Folder: C:\Windows\InnoTipLanguage
File: C:\ProgramData\cpsvchost.exe
File: C:\ProgramData\install.bat
File: C:\ProgramData\RDPCheck.exe
File: C:\ProgramData\RDPConf.exe
File: C:\ProgramData\RDPWInst.exe
File: C:\ProgramData\uninstall.bat
File: C:\ProgramData\update.bat
File: C:\ProgramData\Update.exe
File: C:\ProgramData\Update32.exe
Zip: C:\ProgramData\cpsvchost.exe;C:\ProgramData\install.bat;C:\ProgramData\RDPCheck.exe;C:\ProgramData\RDPConf.exe;C:\ProgramData\RDPWInst.exe;C:\ProgramData\uninstall.bat;C:\ProgramData\update.bat;C:\ProgramData\Update.exe;C:\ProgramData\Update32.exe
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Обратите внимание в событиях регистрируются аппаратные проблемы с диском, по возожмности перенесите важные данных на другой носитель.

Код:

Error: (10/04/2018 08:04:13 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (10/04/2018 08:04:11 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (10/04/2018 08:04:09 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (10/04/2018 08:04:07 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (10/04/2018 08:04:06 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (10/04/2018 08:04:04 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (10/04/2018 08:04:02 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

Error: (10/04/2018 08:04:00 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk2\DR2.

**Jag** · 04.10.2018, 20:00

Сделал fix. Прикрепил fixlog и выслал карантин.

SQ · 04.10.2018, 20:16

Отправил карантин в Вир.лаб ожидайте результата.

Сообщите, что с проблемой?

**Jag** · 04.10.2018, 20:29

Проблема с интернетом исчезла. Проблема с подвисанием тоже (в игре не тестил).
Жесткий диск на самом деле в плохом состоянии-придется заменить, благо важных данных на нём нет.
Спасибо за помощь!

SQ · 05.10.2018, 00:05

Пришли результаты по предыдущим файлам:

Код:

New malicious software was found in the attached files:
winlogon.exe - Trojan.Win32.Autoit.flm
System.exe - Trojan.Win32.Agent.qwhkxn

По последним пока еще нет, ожидайте.

**Jag** · 05.10.2018, 16:56

Жду) Спасибо!

SQ · 05.10.2018, 17:58

Получил ответ, другого вредоносного ПО не найдено. Так что на этом все, если проблем более нет.

Следующие файлы уже классифицируются, как:
RDPCheck.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.c
RDPConf.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.b
RDPWInst.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.h

Продукты АО Лаборатории Касперского относят указанные объекты к одной из категорий легального программного обеспечения и не считают их вредоносными. Нотификации, выдаваемые конечному пользователю, носят информационный характер и являются корректными.

В остальных файлах не найдено ничего вредоносного.

**CyberHelper** · 05.10.2018, 18:08

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 15
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\realtekhd\taskhostw.exe - Trojan.Win32.BitCoinMiner.dsf ( AVAST4: Win64:Malware-gen )
2. c:\programdata\windowstask\amd.exe - HEUR:Trojan.Win32.Miner.gen ( AVAST4: Win64:Malware-gen )
3. c:\programdata\windowstask\microsofthost.exe - HEUR:Trojan.Win32.Miner.gen
4. c:\programdata\windowstask\winlogon.exe - Trojan.Win32.Autoit.flm ( AVAST4: Win32:Malware-gen )
5. \rdpcheck.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.c
6. \rdpconf.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.b
7. \rdpwinst.exe - not-a-virus:RemoteAdmin.Win32.RDPWrap.h

Компьютер подвисает на 5-10 секунд, интернет работает через раз. [not-a-virus:RemoteAdmin.Win32.RDPWrap.b, not-a-virus:RemoteAdmin.Win32.RDPWrap.h] (заявка № 220450)

Опции темы