Здравствуйте,
Знакома ли вам?
Код:
C:\ProgramData\Windows\rutserv.exe
Антивирус Касперского его идентифицирует как -
Backdoor.Win32.RMS.pn
HiJackThis
профиксить
Код:
O4 - HKCU\..\StartupApproved\Run: [AceStream] = C:\Users\Сергей\AppData\Roaming\ACEStream\engine\ace_engine.exe (2020/02/14)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O4-32 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: \Microsoft\Windows\Wininet\SystemC - C:\Programdata\RealtekHD\taskhostw.exe
AVZ
выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('RManService');
QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
QuarantineFile('C:\ProgramData\Windows\rutserv.exe','');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Wininet\SystemC','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью
формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно!
Приложите новые логи но уже в нормальном режиме.
