Вирус rutserv

**Джови** · 28.09.2021, 20:31

Здравствуйте, помогите пожалуйста. Поймал вирус rutserv исходит от службы Remote Manipulator System.
Я хотел скачать вашу программу для проверки компьютера чтобы скинуть вам , но не даёт зайти на ваш сайт. Не могу зайти на доктор веб и другие антивирусы. Что мне делать? В крайнем случае поможет ли переустановка виндовса? Спасибо заранее за помощь. Смог сделать логи. Скину сейчас. Чтобы облегчить вам работу я проверил другие статьи. Скачал AVbr. Провел все действия , компьютер перезагрузился и , о боги, я могу зайти на сайт доктор веб. Что мне дальше делать? Виндоус дефендер до сих пор выключен. Сейчас соберу свежие логи и скину.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 28.09.2021, 20:38

Уважаемый(ая) Джови, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 28.09.2021, 21:49

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.
Файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.

Потом пробуйте сделать логи по правилам.

**Джови** · 28.09.2021, 22:04

Вот вроде бы

**Vvvyg** · 29.09.2021, 07:34

Выполнять рекомендации нужно было в том порядке, в котором они даны, а не наоборот. По логам Autologger надо было убедиться, что AV_block_remove отработал нормально.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Джови** · 29.09.2021, 16:06

Вот сделал как просили. Спасибо, что помогаете

Я не сильно разбираюсь поэтому мог до этого сделать что-то неправильно или наоборот, извиняюсь.

**Vvvyg** · 29.09.2021, 17:29

А этот майнер аж с прошлого года - ваш, знаете его?

Код:

C:\Program Files\qemu\Host Services x64.exe

И пользователи в системе известны?
05C26CCBCC2148C5BEA7
7EC2B785AEA740F8A98C

**Джови** · 29.09.2021, 17:34

Неизвестны. И про майнер не знал. А как его удалить? Доктор веб не определил, а пользователи неизвестны для меня. Он у меня еще в автозагрузках есть. Убрать или нет? Вот точно такое же название. И есть еще один файлик там же с таким же названием Host Services 64.exe , но без x

**Vvvyg** · 29.09.2021, 17:59

Тогда чистим и это всё тоже.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Systemrestore: on
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-2694315124-1141212807-181068091-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
S2 SystemServices; C:\Program Files\qemu\SystemServices.exe [122368 2020-01-08] () [Файл не подписан] <==== ВНИМАНИЕ
 C:\Program Files\qemu
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Host Services x64.lnk [2020-08-01]
ShortcutTarget: Host Services x64.lnk -> C:\Program Files\qemu\Host Services x64.exe () [Файл не подписан]
Unlock: C:\WINDOWS\system32\Drivers\96de89cc5.sys
File: C:\WINDOWS\system32\Drivers\96de89cc5.sys
Virustotal: C:\WINDOWS\system32\Drivers\96de89cc5.sys
2021-09-28 22:17 - 2021-09-28 22:18 - 000000000 ____D C:\AdwCleaner
2020-07-26 17:03 - 2021-06-18 09:36 - 000000080 _____ () C:\Users\Axe\AppData\Roaming\msregsvv.dll
2020-11-26 21:28 - 2020-11-26 21:54 - 000000051 ___SH () C:\Users\Axe\AppData\Local\3cf976315767f8122bb7d7.09207887
2020-11-26 21:50 - 2020-11-28 00:16 - 000000051 ___SH () C:\Users\Axe\AppData\Local\6eebc2b1598089f38a4759.67408981
2020-11-25 20:53 - 2020-11-26 21:55 - 000000051 ___SH () C:\Users\Axe\AppData\Local\7368ee7c5a2e9307a4d700.36580646
2020-11-25 20:47 - 2020-11-25 20:48 - 000000051 ___SH () C:\Users\Axe\AppData\Local\78a0e7c359f32e31311c98.97329581
2020-11-25 20:53 - 2020-11-26 21:54 - 000000051 ___SH () C:\Users\Axe\AppData\Local\dh3drp3dex4qjdyvz3zwwjh5a7xtbdq
2020-11-25 20:53 - 2020-12-01 19:40 - 000000051 ___SH () C:\Users\Axe\AppData\Local\omooip4754nigh23mgkys2wsoylh7sq
CustomCLSID: HKU\S-1-5-21-2694315124-1141212807-181068091-1001_Classes\CLSID\{24734139-2E14-88F8-FDDF-194FDB2B19C4}\InprocServer32 -> отсутствует путь к файлу
ContextMenuHandlers2: [SecureExt] -> {D23C3BA7-6DC3-4DDF-9BDF-12599E852A40} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData:38B9AE83722F7F7B [217]
CMD: net user 05C26CCBCC2148C5BEA7 /delete
CMD: net user 7EC2B785AEA740F8A98C /delete
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Джови** · 29.09.2021, 18:09

Я сделал. Компьютер перезагрузился. Вот фикслог

**Vvvyg** · 29.09.2021, 18:50

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если не войдёт во вложения - в облако и ссылку сюда.

**Джови** · 29.09.2021, 19:29

Все верно? Надеюсь.

**Vvvyg** · 29.09.2021, 20:47

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
delall %Sys32%\DRIVERS\96DE89CC5.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.8.1.468\SERVICE_UPDATE.EXE
del %SystemDrive%\USERS\AXE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\VKONTAKTE DJ.LNK
del %SystemDrive%\USERS\AXE\DESKTOP\VKONTAKTE DJ.LNK
delref ADVANCED SYSTEM OPTIMIZER - SECUREDELETESHELLEXT EXTENSION\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**Джови** · 29.09.2021, 21:37

Сделал.

**Vvvyg** · 29.09.2021, 21:44

Порядок, все майнеры зачищены.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**Джови** · 29.09.2021, 21:58

Спасибо огромное! Вы просто лучшие.

Вирус rutserv (заявка № 227195)

Опции темы