Здравствуйте! Только что удалил последние остатки злого и ужасного вируса. Решил написать статью, в которой укажу все, что мною предпринималось.
Все началось вчера вечером. Я сидел себе спокойно и смотрел фильм, как вдруг в правом верхнем углу выскочила надпись вида «Внимание! Включено видеонаблюдение!».
Сразу открыл интернет и отправился на поиски, оказалось, это RMS (программа удаленного управления компьютером).
Как только я нашел инструкцию по удалению, мышь задвигалась, браузер с инструкцией закрылся я быстренько высунул вилку из розетки, но было поздно. После перезагрузки в диспетчере задач открывалась N-ая количество процессов explorer.exe. Я сразу полез в Comodo и включил HIPS на максимум, открытие процессов заблокировалось, но антивирус показывал как самые разные программы пытаются сами себя открыть, а также внести изменения в регистр.
Дальше я загрузился в «Безопасном Режиме» и удалил RMS, но на этом нечего не закончилось.
Следующие что я предпринял это включил автоматический сборщик логов. После чего скинул на флешку и с нормального компа полез в логи
Открылась обычная html страница. Проанализиров все файлы, мне попались на глаза 3 очень странных файла
Насколько я знаю, таких путей не должно быть в системе. Дальше я нажал под ними кнопки удалить, а также в самом низу на кнопку «Чистка реестра после удаления файлов». У нас появился скрипт для avz, я его скопировал и попытался запустить на зараженном компьютере, но AVZ стал сразу зависать, тогда я решил загрузиться опять таки в «Безопасном режиме» и там запустили скрипт.
Включил компьютер в обычном режиме, отключил HIPS и, вуаля, все нормально. Единственно, что Google Chrome пока не работает, а так все нормально функционирует.
Надеюсь данная статья поможет новичкам при борьбе с вирусом. Не забывайте сканировать свои компьютеры. Удачи.
Все началось вчера вечером. Я сидел себе спокойно и смотрел фильм, как вдруг в правом верхнем углу выскочила надпись вида «Внимание! Включено видеонаблюдение!».
Сразу открыл интернет и отправился на поиски, оказалось, это RMS (программа удаленного управления компьютером).
Как только я нашел инструкцию по удалению, мышь задвигалась, браузер с инструкцией закрылся я быстренько высунул вилку из розетки, но было поздно. После перезагрузки в диспетчере задач открывалась N-ая количество процессов explorer.exe. Я сразу полез в Comodo и включил HIPS на максимум, открытие процессов заблокировалось, но антивирус показывал как самые разные программы пытаются сами себя открыть, а также внести изменения в регистр.
Дальше я загрузился в «Безопасном Режиме» и удалил RMS, но на этом нечего не закончилось.
Сама инструкция
© Источник: bhf.su/threads/22007/?attempt=1
- Открываем диспетчер задач и завершаем тот процесс который удастся закрыть rfusclient.exe
- Жмем кнопку win+R, ну или по русски пуск->выполнить, пишем regedit, далее жмем F3, после чего вписываем rfusclient или rfusclient.exe, нам выдаст строку (должно ее выделить) удаляем ее.
- Удаляем папку с программой C:\Program Files\Remote Manipulator System
- Перезагружаемся
© Источник: bhf.su/threads/22007/?attempt=1
Следующие что я предпринял это включил автоматический сборщик логов. После чего скинул на флешку и с нормального компа полез в логи
/autologer/CollectionLog-XX.XX.XX-XX.XX/virusinfo_syscheck.zip/avz_sysinfo.htm
Открылась обычная html страница. Проанализиров все файлы, мне попались на глаза 3 очень странных файла
- c:\windows\system32\syste32\lsass.exe
- C:\Windows\system32\syste32\lsass.exe
- C:\Users\bleef\AppData\Roaming\syste32\lsass.EXE
Насколько я знаю, таких путей не должно быть в системе. Дальше я нажал под ними кнопки удалить, а также в самом низу на кнопку «Чистка реестра после удаления файлов». У нас появился скрипт для avz, я его скопировал и попытался запустить на зараженном компьютере, но AVZ стал сразу зависать, тогда я решил загрузиться опять таки в «Безопасном режиме» и там запустили скрипт.
begin
DeleteFile('C:\Users\bleef\AppData\Roaming\syste32\lsass.EXE','32');
DeleteFile('C:\Windows\system32\syste32\lsass.exe','32');
DeleteFile('c:\windows\system32\syste32\lsass.exe','32');
ExecuteSysClean;
end.
Включил компьютер в обычном режиме, отключил HIPS и, вуаля, все нормально. Единственно, что Google Chrome пока не работает, а так все нормально функционирует.
Надеюсь данная статья поможет новичкам при борьбе с вирусом. Не забывайте сканировать свои компьютеры. Удачи.