Показано с 1 по 6 из 6.

DrWeb CureIt поймал Program.Rdpwrap.4 (заявка № 225770)

  1. #1
    Junior Member (OID) Репутация
    Регистрация
    10.08.2015
    Сообщений
    15
    Вес репутации
    19

    DrWeb CureIt поймал Program.Rdpwrap.4

    Невозможно установить программы на диск С, комп в локальной сети (другие компы его не видят). В трее появилась программка RMS host (ничего не устанавливали).
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,306
    Вес репутации
    360
    Уважаемый(ая) s.chubarev, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Junior Member (OID) Репутация
    Регистрация
    10.08.2015
    Сообщений
    15
    Вес репутации
    19

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,789
    Вес репутации
    959
    Выполните скрипт в AVZ из папки Autologger:
    Код:
    {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
    var
    ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders : TStringList;
    
    procedure FillList;
    begin
     PD_folders := TStringList.Create;
     PD_folders.Add('360TotalSecurity');
     PD_folders.Add('360safe');
     PD_folders.Add('Avg');
     PD_folders.Add('Avira');
     PD_folders.Add('ESET');
     PD_folders.Add('Indus');
     PD_folders.Add('Kaspersky Lab Setup Files');
     PD_folders.Add('Kaspersky Lab');
     PD_folders.Add('MB3Install');
     PD_folders.Add('Malwarebytes');
     PD_folders.Add('McAfee');
     PD_folders.Add('Norton');
     PD_folders.Add('grizzly');
     PD_folders.Add('RealtekHD');
     PD_folders.Add('RunDLL');
     PD_folders.Add('Setup');
     PD_folders.Add('System32');
     PD_folders.Add('Windows');
     PD_folders.Add('WindowsTask');
     PD_folders.Add('install');
     PF_folders := TStringList.Create;
     PF_folders.Add('360');
     PF_folders.Add('AVAST Software');
     PF_folders.Add('AVG');
     PF_folders.Add('ByteFence');
     PF_folders.Add('COMODO');
     PF_folders.Add('Cezurity');
     PF_folders.Add('Common Files\McAfee');
     PF_folders.Add('ESET');
     PF_folders.Add('Enigma Software Group');
     PF_folders.Add('GRIZZLY Antivirus');
     PF_folders.Add('Kaspersky Lab');
     PF_folders.Add('Malwarebytes');
     PF_folders.Add('Microsoft JDX');
     PF_folders.Add('Panda Security');
     PF_folders.Add('SpyHunter');
     PF_folders.Add('RDP Wrapper');
     O_folders := TStringList.Create;
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
     O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
     O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
     O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
    end;
    
    procedure Del_folders(path:string; AFL : TStringList);
    var
    i : integer;
    begin
     for i := 0 to AFL.Count - 1 do
     begin
      fname := NormalDir(path + AFL[i]);
      if DirectoryExists(fname) then
    	  begin
    		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
    		  DeleteFileMask(fname, '*', true);
    		  DeleteDirectory(fname);
    	  end;
     end;
    end;
    
    procedure swprv;
    begin
     ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
     RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
     RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
     OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
     if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
     ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
     ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
    end;
    
    procedure  AV_block_remove;
    begin
     clearlog;
     FillList;
     ProgramData := GetEnvironmentVariable('ProgramData');
     ProgramFiles := NormalDir('%PF%');
     ProgramFiles86 := NormalDir('%PF% (x86)');
     Del_folders(ProgramData +'\', PD_folders);
     Del_folders(ProgramFiles, PF_folders);
     Del_folders(ProgramFiles86, PF_folders);
     Del_folders('', O_folders);
     ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
     RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
     swprv;
     ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
     SaveLog(GetAVZDirectory +'AV_block_remove.log');
     PD_folders.Free;
     PF_folders.Free;
     O_folders.Free;
     ExecuteWizard('SCU', 2, 2, true);
     ExecuteSysClean;
    end;
    
    begin
    SearchRootkit(true, true);
     QuarantineFile('C:\ProgramData\Windows\rutserv.exe', '');
     QuarantineFile('C:\Windows\java.exe', '');
     QuarantineFile('C:\Windows\svchost.exe', '');
     DeleteFile('C:\ProgramData\Windows\rutserv.exe', '32');
     DeleteFile('C:\Windows\java.exe', '');
     DeleteFile('C:\Windows\svchost.exe', '');
     DeleteService('RManService');
     DeleteFileMask('C:\ProgramData\Windows', '*', true);
     DeleteDirectory('C:\ProgramData\Windows');
     AV_block_remove;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    O4 - MSConfig\startupreg: TNOD UP [command] = (HKLM) (2019/11/05) (no file)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
    O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
    O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  6. #5
    Junior Member (OID) Репутация
    Регистрация
    10.08.2015
    Сообщений
    15
    Вес репутации
    19
    Логи FRST приложил.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    31,789
    Вес репутации
    959
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Virustotal: C:\ProgramData\temp5.exe
    2020-10-15 16:16 - 2020-10-15 16:39 - 011435008 _____ C:\ProgramData\temp5.exe
    2020-10-14 10:41 - 2020-10-14 10:41 - 000000000 __SHD C:\Windows\McMwt
    2020-10-14 10:41 - 2020-10-14 10:41 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
    2020-10-15 15:50 - 2020-03-20 11:13 - 000000000 __SHD C:\ProgramData\Doctor Web
    Unlock: C:\Users\Admin\AppData\Roaming\Avast Software
    Unlock: C:\ProgramData\AVAST Software
    CMD: attrib -R -S -H /D "C:\ProgramData\AVAST Software"
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

Похожие темы

  1. Ответов: 13
    Последнее сообщение: 05.10.2018, 18:08
  2. Ответов: 2
    Последнее сообщение: 13.02.2017, 10:22
  3. Ответов: 6
    Последнее сообщение: 19.08.2011, 14:34
  4. Runtime Error! Program: C:\Program Files\Internet Explorer\iexplore.exe
    От Sumai в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 23.08.2010, 11:56
  5. Ответов: 10
    Последнее сообщение: 22.02.2009, 08:12

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01468 seconds with 20 queries