Показано с 1 по 16 из 16.

Вирус rutserv (заявка № 227195)

  1. #1
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1

    Thumbs up Вирус rutserv

    Здравствуйте, помогите пожалуйста. Поймал вирус rutserv исходит от службы Remote Manipulator System.
    Я хотел скачать вашу программу для проверки компьютера чтобы скинуть вам , но не даёт зайти на ваш сайт. Не могу зайти на доктор веб и другие антивирусы. Что мне делать? В крайнем случае поможет ли переустановка виндовса? Спасибо заранее за помощь. Смог сделать логи. Скину сейчас. Чтобы облегчить вам работу я проверил другие статьи. Скачал AVbr. Провел все действия , компьютер перезагрузился и , о боги, я могу зайти на сайт доктор веб. Что мне дальше делать? Виндоус дефендер до сих пор выключен. Сейчас соберу свежие логи и скину.
    Последний раз редактировалось Джови; 28.09.2021 в 21:51.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,299
    Вес репутации
    365
    Уважаемый(ая) Джови, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,163
    Вес репутации
    997
    Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.
    Файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.

    Потом пробуйте сделать логи по правилам.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1
    Вот вроде бы
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,163
    Вес репутации
    997
    Выполнять рекомендации нужно было в том порядке, в котором они даны, а не наоборот. По логам Autologger надо было убедиться, что AV_block_remove отработал нормально.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1
    Вот сделал как просили. Спасибо, что помогаете Я не сильно разбираюсь поэтому мог до этого сделать что-то неправильно или наоборот, извиняюсь.
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,163
    Вес репутации
    997
    А этот майнер аж с прошлого года - ваш, знаете его?
    Код:
    C:\Program Files\qemu\Host Services x64.exe
    И пользователи в системе известны?
    05C26CCBCC2148C5BEA7
    7EC2B785AEA740F8A98C
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1
    Неизвестны. И про майнер не знал. А как его удалить? Доктор веб не определил, а пользователи неизвестны для меня. Он у меня еще в автозагрузках есть. Убрать или нет? Вот точно такое же название. И есть еще один файлик там же с таким же названием Host Services 64.exe , но без x
    Последний раз редактировалось Джови; 29.09.2021 в 17:40.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,163
    Вес репутации
    997
    Тогда чистим и это всё тоже.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    Systemrestore: on
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-2694315124-1141212807-181068091-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    S2 SystemServices; C:\Program Files\qemu\SystemServices.exe [122368 2020-01-08] () [Файл не подписан] <==== ВНИМАНИЕ
     C:\Program Files\qemu
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Host Services x64.lnk [2020-08-01]
    ShortcutTarget: Host Services x64.lnk -> C:\Program Files\qemu\Host Services x64.exe () [Файл не подписан]
    Unlock: C:\WINDOWS\system32\Drivers\96de89cc5.sys
    File: C:\WINDOWS\system32\Drivers\96de89cc5.sys
    Virustotal: C:\WINDOWS\system32\Drivers\96de89cc5.sys
    2021-09-28 22:17 - 2021-09-28 22:18 - 000000000 ____D C:\AdwCleaner
    2020-07-26 17:03 - 2021-06-18 09:36 - 000000080 _____ () C:\Users\Axe\AppData\Roaming\msregsvv.dll
    2020-11-26 21:28 - 2020-11-26 21:54 - 000000051 ___SH () C:\Users\Axe\AppData\Local\3cf976315767f8122bb7d7.09207887
    2020-11-26 21:50 - 2020-11-28 00:16 - 000000051 ___SH () C:\Users\Axe\AppData\Local\6eebc2b1598089f38a4759.67408981
    2020-11-25 20:53 - 2020-11-26 21:55 - 000000051 ___SH () C:\Users\Axe\AppData\Local\7368ee7c5a2e9307a4d700.36580646
    2020-11-25 20:47 - 2020-11-25 20:48 - 000000051 ___SH () C:\Users\Axe\AppData\Local\78a0e7c359f32e31311c98.97329581
    2020-11-25 20:53 - 2020-11-26 21:54 - 000000051 ___SH () C:\Users\Axe\AppData\Local\dh3drp3dex4qjdyvz3zwwjh5a7xtbdq
    2020-11-25 20:53 - 2020-12-01 19:40 - 000000051 ___SH () C:\Users\Axe\AppData\Local\omooip4754nigh23mgkys2wsoylh7sq
    CustomCLSID: HKU\S-1-5-21-2694315124-1141212807-181068091-1001_Classes\CLSID\{24734139-2E14-88F8-FDDF-194FDB2B19C4}\InprocServer32 -> отсутствует путь к файлу
    ContextMenuHandlers2: [SecureExt] -> {D23C3BA7-6DC3-4DDF-9BDF-12599E852A40} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData:38B9AE83722F7F7B [217]
    CMD: net user 05C26CCBCC2148C5BEA7 /delete
    CMD: net user 7EC2B785AEA740F8A98C /delete
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  11. Это понравилось:


  12. #10
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1
    Я сделал. Компьютер перезагрузился. Вот фикслог
    Вложения Вложения

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,163
    Вес репутации
    997
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    Если не войдёт во вложения - в облако и ссылку сюда.
    WBR,
    Vadim

  14. #12
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1
    Все верно? Надеюсь.
    Вложения Вложения

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,163
    Вес репутации
    997
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.11.9 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    deltmp
    delall %Sys32%\DRIVERS\96DE89CC5.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\21.8.1.468\SERVICE_UPDATE.EXE
    del %SystemDrive%\USERS\AXE\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\VKONTAKTE DJ.LNK
    del %SystemDrive%\USERS\AXE\DESKTOP\VKONTAKTE DJ.LNK
    delref ADVANCED SYSTEM OPTIMIZER - SECUREDELETESHELLEXT EXTENSION\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE
    apply
    restart
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1
    Сделал.
    Вложения Вложения

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,163
    Вес репутации
    997
    Порядок, все майнеры зачищены.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

  18. #16
    Junior Member Репутация
    Регистрация
    28.09.2021
    Сообщений
    9
    Вес репутации
    1
    Спасибо огромное! Вы просто лучшие.

  • Уважаемый(ая) Джови, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Удаленный доступ вирус rutserv.exe
      От trupsaveman в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 03.05.2021, 02:09
    2. Ответов: 2
      Последнее сообщение: 16.06.2015, 20:06
    3. rutserv.exe и программа RMS(Remote Manipulating System)
      От Davian в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.06.2015, 20:02
    4. Rutserv в mac
      От rabent в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 03.05.2015, 00:21
    5. файл rutserv.exe и прцесс rfusclient.exe
      От Константи в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 06.09.2011, 17:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00405 seconds with 19 queries