Очистка и лечение больного компьютера: rdpwrapper и какой-то блокировщик, в реестре появились теги DisallowRun на антивирусах, файл hosts

@ddsh · Регистрация: 15.04.2025

Author24 — интернет-сервис помощи студентам

Всем добрый день! Нужна помощь с очисткой компа от остатков вирусни и нанесённого ею урона.

Ситуация:

Компьютер без антивирусов (только Defender)
в 10:03 установил репак игры и получил от дефендера пинг об угрозах (приложено)
Посмотрел что произошло - установился и глубоко спрятался rdpwrapper и какой-то непонятный блокировщик, в реестре появились теги DisallowRun на антивирусах, файл hosts модифицировался на запрет посещения сайтов-поставщиков антивирусов. Также создались и системно заблокировались многие папки на диске С (видимо тоже своеобразная блокировка антивирусов) Скачал окольными путями CureIt, просканировал и удалил то что не нашёл сам.
Прошу взглянуть на логи и подсказать, возможно удалилось не всё?

@ddsh · 15.04.2025, 14:22 **[ТС]**

прикрепляю найденные cureit угрозы

@Sandor · 15.04.2025, 14:45

Здравствуйте!

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@ddsh · 15.04.2025, 15:15 **[ТС]**

После перезагрузки ПК вирус обосновался в ProgramData/RealtekHD под именем taskhost.exe и taskhostw.exe , ProgramData/WindowsTask под именем audiodg.exe
Закрывал таск менеджер и проводник при попытке к нему подобраться, как-то получилось снять процессы и удалить. AV remover помог, прилагаю collection log и security check для дальнейших рекомендаций. Спасибо!!

@Sandor · 15.04.2025, 15:27

Сообщение от Sandor

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению

Это забыли.

Добавлено через 10 минут
Внимание! Рекомендации написаны специально для пользователя ddsh. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

1. Пофиксите в HijackThis только следующие строчки:

Code
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O4 - Autorun.inf: G:\autorun.inf - open - sources\SetupError.exe x64 (file missing)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\ReaItekHD\taskhostw.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\FilesystemV\RecoveryHosts - C:\ProgramData\Microsoft\MapData\d6dmZVldD2K\FilesystemV.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

2. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@ddsh · 15.04.2025, 15:27 **[ТС]**

прикрепил лог

а что за taskhostw.exe и help.exe в этой папке? что с ними делать?

@Sandor · 15.04.2025, 15:31

Сообщение от ddsh

что с ними делать?

Не волнуйтесь, это не опасно. По окончании лечения эту папку можно будет удалить.
Проделайте три пункта, описанных выше.

@ddsh · 15.04.2025, 15:46 **[ТС]**

данных строк в HiJackThis+ найдено не было:

Code
1
2
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

логи FRST прикрепил, бонжур удалил после скана

еще раз большое спасибо за вашу помощь!

@Sandor · 15.04.2025, 15:52

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Winsock: Catalog5 08 C:\Program Files (x86)\Bonjour\mdnsNSP.dll [122128 2015-08-12] (Apple Inc. -> Apple Inc.)
Winsock: Catalog5-x64 08 C:\Program Files\Bonjour\mdnsNSP.dll [133392 2015-08-12] (Apple Inc. -> Apple Inc.)
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
2025-04-15 10:03 - 2025-04-15 10:03 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bebra.lnk:93FE4BAE14 [3442]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@ddsh · 15.04.2025, 16:01 **[ТС]**

Лог приложил

@Sandor · 15.04.2025, 16:07

Отлично!

Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

Приложение NVIDIA 11.0.2.312 v.11.0.2.312 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.96.2 Внимание! Скачать обновления
Microsoft OneDrive v.25.051.0317.0003 Внимание! Скачать обновления
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9024 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
Windscribe v.2.10.16 Внимание! Скачать обновления
qBittorrent v.4.6.5 Внимание! Скачать обновления
Yandex v.25.2.5.956 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Mozilla Thunderbird (x64 ru) v.128.5.2 Внимание! Скачать обновления

Читайте Рекомендации после удаления вредоносного ПО

А также одна из причин заражения.

@ddsh · 15.04.2025, 16:26 **[ТС]**

Всё сделал, подозрительные процессы и их следы исчезли. Огромное спасибо за проделанную работу!

Новые блоги и статьи Все статьи Все блоги /
Логирование в C# ASP.NET Core с помощью Serilog, ElasticSearch, Kibana stackOverflow 25.04.2025 Помните те времена, когда для анализа проблемы приходилось подключаться к серверу, искать нужный лог-файл среди десятков других и вручную фильтровать тысячи строк в поисках ошибки? К счастью, эти дни. . .	Полностью асинхронный счётчик на логике (сумматорах) трёх состояний и асинхронных регистрах трёх состояний. Структура "электронный Buttom Up" Hrethgir 25.04.2025 Программа для симуляции схемы - Logisim Evolution В общем какое-то время отвлёкся, так было надо, теперь когда запилю это на verilog и FPGA , досоставлю заявку в ФИПС на полезную модель - не готов. . .	Автоматизация Amazon Web Services (AWS) с Boto3 в Python py-thonny 25.04.2025 Облачные вычисления стали неотъемлемой частью современной ИТ-инфраструктуры, а Amazon Web Services (AWS) занимает лидирующие позиции среди провайдеров облачных услуг. Управление многочисленными. . .	Apache Kafka vs RabbitMQ в микросервисной архитектуре ArchitectMsa 25.04.2025 Современная разработка ПО всё чаще склоняется к микросервисной архитектуре — подходу, при котором приложение разбивается на множество небольших, автономных сервисов. В этой распределённой среде. . .	Параллельное программирование с OpenMP в C++ NullReferenced 24.04.2025 Параллельное программирование — подход к созданию программ, когда одна задача разбивается на несколько подзадач, которые могут выполняться одновременно. Оно стало необходимым навыком для. . .
Цепочки методов в C# с Fluent API UnmanagedCoder 24.04.2025 Современное программирование — это не только решение функциональных задач, но и создание кода, который удобно поддерживать, расширять и читать. Цепочки методов и Fluent-синтаксис в C# стали мощным. . .	Мульти-тенантные БД с PostgreSQL Row Security Codd 23.04.2025 Современные облачные сервисы и бизнес-приложения всё чаще обслуживают множество клиентов в рамках единой программной инфраструктуры. Эта архитектурная модель, известная как мульти-тенантность, стала. . .	Реализация конвейеров машинного обучения с Python и Scikit-learn AI_Generated 23.04.2025 Мир данных вокруг нас растёт с каждым днём, и умение эффективно обрабатывать информацию стало необходимым навыком. Специалисты по машинному обучению ежедневно сталкиваются с задачами предобработки. . .	Контроллеры Kubernetes Ingress: Сравнительный анализ Mr. Docker 23.04.2025 В Kubernetes управление входящим трафиком представляет собой одну из ключевых задач при построении масштабируемых и отказоустойчивых приложений. Ingress — это API-объект, который служит вратами. . .	Оптимизация кода Python с Cython и Numba py-thonny 23.04.2025 Python прочно обосновался в топе языков программирования благодаря своей простоте и гибкости. Разработчики любят его за читабельность кода и богатую экосистему библиотек. Но у этой медали есть и. . .

@ddsh 1 / 1 / 0 Регистрация: 15.04.2025 Сообщений: 7
	15.04.2025, 14:22 [ТС]
	прикрепляю найденные cureit угрозы Миниатюры 0

@Sandor 22342 / 15819 / 3055 Регистрация: 08.10.2012 Сообщений: 64,353
	15.04.2025, 14:45
	Здравствуйте! Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@Sandor 22342 / 15819 / 3055 Регистрация: 08.10.2012 Сообщений: 64,353
	15.04.2025, 16:07
	Сообщение было отмечено ddsh как решение Решение Отлично! Если проблема решена, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Исправьте по возможности: Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Так ли страшен Контроль учётных записей Приложение NVIDIA 11.0.2.312 v.11.0.2.312 Внимание! Скачать обновления Microsoft Visual Studio Code (User) v.1.96.2 Внимание! Скачать обновления Microsoft OneDrive v.25.051.0317.0003 Внимание! Скачать обновления 7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Discord v.1.0.9024 Внимание! Скачать обновления Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления Windscribe v.2.10.16 Внимание! Скачать обновления qBittorrent v.4.6.5 Внимание! Скачать обновления Yandex v.25.2.5.956 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Mozilla Thunderbird (x64 ru) v.128.5.2 Внимание! Скачать обновления Читайте Рекомендации после удаления вредоносного ПО А также одна из причин заражения. 0

@ddsh 1 / 1 / 0 Регистрация: 15.04.2025 Сообщений: 7
	15.04.2025, 16:26 [ТС]
	Всё сделал, подозрительные процессы и их следы исчезли. Огромное спасибо за проделанную работу! 1

Опции темы

Очистка и лечение больного компьютера: rdpwrapper и какой-то блокировщик, в реестре появились теги DisallowRun на антивирусах, файл hosts

Решение