Поймал Rutserv.exe

@arinoshi · Регистрация: 08.07.2015

Студворк — интернет-сервис помощи студентам

Добрый день форумчане ,поймал где-то месяца 2 назад (как не помню) rutserv.exe в сопровождении taskhostw.exe(realtek) ,последнее к реалтеку кроме названия никак не относится
суть проблемы - с помощью malwarebytes сканирую,все вычищаю,но где-то ,что-то он не находит и стоит только перезагрузиться неудачно ,все накрывается тазом. рутсерв на месте в процессах ,мальва не запускается ,не запускается даже через хамалеон (не может скачать версию для установки) ,что уже с этим делать я хз ,уповаю на вашу мудростб помогите пожалуйста ,логи прикладываю

цель найти откуда растут ноги у этой пакости и как ей удается заново расплодиться

+ если есть ссылка на крякнутый malwarebytes 3.6.1 поделитесь бога ради. после истечения 14 дней испытательного срока она перестает защищать в реальном времени ,а я диплом дописываю ,защита в 20х числах ,если пека так еще раз ляжет я уже не уверен что смогу ее поднять

P.S при удалении из диспетчера задач сам рутсерв и taskhostw.exe ,они конечно же мгновенно возвращаются на место

@arinoshi · 08.06.2020, 10:14 **[ТС]**

первые логи "321" из мальваребутес ,эти из autologger

@Sandor · 08.06.2020, 16:53

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя arinoshi. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

1. Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Auslogics Disk Defrag Professional
Unity Web Player
VKMusic 4
Кнопка "Яндекс" на панели задач

2. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. Пофиксите в HijackThis следующие строчки:

Code
O1 - Hosts: Reset contents to default
O4 - (disabled) HKCU\..\Run-: [eqahrcezdm] = C:\windows\explorer.exe "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=AA761695C6E15F144030E89D85961502&utm_d=20171227"
O4 - (disabled) HKCU\..\Run-: [setupsk] = C:\Users\arinoshi\AppData\Roaming\setupsk\python\pythonw.exe "C:\Users\arinoshi\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk" (file missing)
O4 - (disabled) HKCU\..\Run-: [setupsk_upd] = C:\Users\arinoshi\AppData\Roaming\setupsk_upd\python\pythonw.exe "C:\Users\arinoshi\AppData\Roaming\setupsk_upd\ml.py" --APPNAME="setupsk_upd" (file missing)
O4 - HKCU\..\StartupApproved\Run: [nScreenshotter] = (no file) (2018/08/12)
O4 - HKLM\..\StartupApproved\Run32: [kbdsprt] = (no file) (2018/08/12)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: Punto Switcher (ç) - C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe (file missing)
O22 - Task: Punto Switcher ({) - C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe (file missing)

4. Перезагрузите систему и соберите свежий CollectionLog.

@arinoshi · 08.06.2020, 19:04 **[ТС]**

Готово

@Sandor · 09.06.2020, 10:52

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@arinoshi · 09.06.2020, 11:20 **[ТС]**

готово

@Sandor · 09.06.2020, 11:28

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1043307968-326375201-1004948635-1001\...\MountPoints2: {054f497e-0eb4-11e7-82b4-90e6ba17532c} - "E:\ICM_Manager.exe" 
HKU\S-1-5-21-1043307968-326375201-1004948635-1001\...\MountPoints2: {19bbdaca-3ab2-11e5-824e-806e6f6e6963} - "J:\DVDSetup.exe" 
HKU\S-1-5-21-1043307968-326375201-1004948635-1001\...\MountPoints2: {42d37136-a3f9-11e9-83e8-90e6ba17532c} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1043307968-326375201-1004948635-1001\...\MountPoints2: {584b5972-3f41-11e7-82b8-90e6ba17532c} - "E:\ICM_Manager.exe" 
HKU\S-1-5-21-1043307968-326375201-1004948635-1001\...\MountPoints2: {a5d2b126-58b2-11e5-825c-e6d40b7ead8f} - "E:\startme.exe" 
HKU\S-1-5-21-1043307968-326375201-1004948635-1001\...\MountPoints2: {f0dcafa1-c19c-11e7-82dd-90e6ba17532c} - "E:\ICM_Manager.exe" 
Task: {4B18649E-A6FD-48DE-AE3D-09605BA0A4C6} - \Microsoft\Windows\Starter -> No File <==== ATTENTION
Task: {940C10D9-162E-44F4-9430-ABE969461376} - \Microsoft\QuickLaunch -> No File <==== ATTENTION
CHR Notifications: Default -> hxxps://adventuretime.spulse.net; hxxps://dropmefiles.com; hxxps://localbitcoins.net; hxxps://mail-notification.info; hxxps://posylka.net; hxxps://surveyinterface-v2.opinionsample.com; hxxps://tinder.com; hxxps://www.avito.ru; hxxps://www.youtube.com
2020-06-05 14:23 - 2020-06-05 14:23 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-05-13 16:37 - 2020-06-08 11:38 - 000000000 __SHD C:\ProgramData\RunDLL
FirewallRules: [{E1220686-5B0D-4E30-9EAF-D0E2CD146C70}] => (Block) LPort=445
FirewallRules: [{49D60774-C852-4D7C-8161-4EE4F0717091}] => (Block) LPort=139
FirewallRules: [{E754D055-6955-474C-81B8-98E6D8FF58CF}] => (Block) LPort=139
FirewallRules: [{6AE21498-7DF3-4FB2-BC66-922DFD6D492E}] => (Block) LPort=445
FirewallRules: [{5E2EB403-4F38-4325-8C26-4FBCA2EFB305}] => (Allow) LPort=3389
FirewallRules: [{A76E219B-EAC5-43B8-9027-3C081ED67202}] => (Block) LPort=445
FirewallRules: [{7D088FC5-2408-4999-943A-6FC1C62ACC4F}] => (Block) LPort=139
FirewallRules: [{6108AB2F-5CA2-41E8-B19B-E6B6270BE086}] => (Block) LPort=139
FirewallRules: [{F44D7578-9657-463A-AE4E-909927F980D5}] => (Block) LPort=445
FirewallRules: [{527ABD50-F73E-499E-813D-68C45866B312}] => (Allow) LPort=3389
FirewallRules: [{20963354-FEB8-4D02-8941-FAACB758C34C}] => (Block) LPort=139
FirewallRules: [{B2C0E883-7412-40BE-A1F2-F2F07CDF38E8}] => (Block) LPort=445
FirewallRules: [{D5271492-163C-49C6-A00E-579649D00694}] => (Block) LPort=445
FirewallRules: [{DB81B7C6-61B3-403E-AF74-9B5964D49F5E}] => (Block) LPort=139
FirewallRules: [{5CBBE977-D187-4EA5-9BBE-965B3A13F1EA}] => (Allow) LPort=3389
FirewallRules: [{AC0AA387-B6A2-4BDD-8EFA-B228DB742CB7}] => (Block) LPort=445
FirewallRules: [{1ED1160E-A037-4CCD-9D9E-52786150682E}] => (Block) LPort=139
FirewallRules: [{895B4876-D4D0-49F8-80AE-8563003CF139}] => (Block) LPort=445
FirewallRules: [{029BCF24-5B87-4A4E-895F-7DBC39231F8A}] => (Block) LPort=139
FirewallRules: [{55A5284F-0C93-4337-B7D3-90675228F909}] => (Allow) LPort=3389
FirewallRules: [{C96624AE-066D-41C7-BF16-AC99E2135A1E}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{90494D6B-96EB-455F-97BC-617E49B535C8}] => (Block) LPort=445
FirewallRules: [{8BFC3DF2-39F3-49C3-BF31-0941D5DF42D3}] => (Block) LPort=139
FirewallRules: [{FB8D37E9-5CF3-4DF9-ABA7-32ABEAE8D943}] => (Block) LPort=139
FirewallRules: [{5E3CB579-8963-442C-B181-B8D56CF364D5}] => (Block) LPort=445
FirewallRules: [{651BF53B-F34F-4308-B462-5FDADEB48B83}] => (Allow) LPort=3389
FirewallRules: [{1C7BF5E5-7BFC-4A12-A3DE-2B382B143E8C}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@arinoshi · 09.06.2020, 11:38 **[ТС]**

Готово

@Sandor · 09.06.2020, 16:19

Завершаем:

1. Обязательно восстановите настройки Защитника на значения по умолчанию.

2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@arinoshi · 09.06.2020, 23:26 **[ТС]**

восстановить настройки защитника виндовс не удалось т.к установлен сторонний антивирусник и защитник не хочет открываться\запускаться

@Sandor · 10.06.2020, 09:45

Сообщение от arinoshi

т.к установлен сторонний антивирусник

Временно его отключите или удалите. Если не получится, сообщите, будем действовать по-другому.

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18053 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB4012213 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
herdProtect Anti-Malware Scanner v.1.0 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.20.0.118 v.3.20.0.118 Внимание! Скачать обновления
VLC media player v.2.2.1 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Office Word Viewer 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
---------------------------- [ ProxyAndVPNs ] -----------------------------
TunnelBear v.3.3.0.3 Внимание! Это приложение может отображать рекламу на посещаемых страницах.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45341 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------------- [ SPY ] ---------------------------------
The Best Keylogger v.3.54.00 << Скрыта Внимание! Программа-шпион! Возможна утечка конфиденциальных данных.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 66 v.8.0.660.18 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u251-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 NPAPI v.27.0.0.130 Внимание! Скачать обновления
Adobe Shockwave Player 12.2 v.12.2.5.195 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 52.0.1 ESR (x86 ru) v.52.0.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
McAfee Security Scan Plus v.3.11.1512.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VdhCoApp 1.3.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.5.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Следы COMODO очистите по соотв. инструкции:
http://www.cyberforum.ru/virus... 59594.html

@arinoshi · 10.06.2020, 11:51 **[ТС]**

Настройки защитника выставил по умолчанию ,часть рекомендаций выполнил ,еще какие-то логи прикладывать нужно ?

@Sandor · 10.06.2020, 11:59

Нет. Читайте Рекомендации после удаления вредоносного ПО

@arinoshi · 10.06.2020, 12:00 **[ТС]**

Тогда тему прошу считать закрытой и проблему решенной ,спасибо большое

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

Поймал Rutserv.exe

Решение

Решение

Решение

Решение

Решение

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,983
	09.06.2020, 10:52
	Сообщение было отмечено arinoshi как решение Решение Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,983
	09.06.2020, 16:19
	Сообщение было отмечено arinoshi как решение Решение Завершаем: 1. Обязательно восстановите настройки Защитника на значения по умолчанию. 2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 3. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@arinoshi 1 / 1 / 0 Регистрация: 08.07.2015 Сообщений: 11
	10.06.2020, 11:51 [ТС]
	Настройки защитника выставил по умолчанию ,часть рекомендаций выполнил ,еще какие-то логи прикладывать нужно ? 0

@Sandor 22505 / 15947 / 3092 Регистрация: 08.10.2012 Сообщений: 64,983
	10.06.2020, 11:59
	Нет. Читайте Рекомендации после удаления вредоносного ПО 1

@arinoshi 1 / 1 / 0 Регистрация: 08.07.2015 Сообщений: 11
	10.06.2020, 12:00 [ТС]
	Тогда тему прошу считать закрытой и проблему решенной ,спасибо большое 0