[akok]

Запустите автологер в безопасном режиме, должно собрать успешно логи.

[MetalSerCore]

Прикладываю лог из под безопасного и AVZ вручную

[SQx]

Здравствуйте,

Знакома ли вам?

Код:

C:\ProgramData\Windows\rutserv.exe

Антивирус Касперского его идентифицирует как - Backdoor.Win32.RMS.pn


HiJackThis профиксить

Код:

O4 - HKCU\..\StartupApproved\Run: [AceStream] = C:\Users\Сергей\AppData\Roaming\ACEStream\engine\ace_engine.exe (2020/02/14)
O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O4-32 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: \Microsoft\Windows\Wininet\SystemC - C:\Programdata\RealtekHD\taskhostw.exe

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 StopService('RManService');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\Windows\rutserv.exe','');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Wininet\SystemC','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно!


Приложите новые логи но уже в нормальном режиме.

[MetalSerCore]

Если бы знать все процессы, особенно в папках c названием Windows, разумеется к моим приложениям, что пользуюсь, отношение не имеет. Выше написанное сделал, компьютер к сети подрубил в обычном режиме, шуметь перестал, антивирусный софт запускается, но на сайты так же не пускает с антивирусами, как я видел и понял по логам HiJackThis, блокировки сайтов идут по файлу host, но мой чистый, вероятно как то прячется. Прикладываю его также. Карантин отправлен по форме.

Два вот этих пути по хосту мне знакомы, использую для игры Pro Evolution Soccer 6

O1 - Hosts: 193.124.115.188 pes6gate-ec.winning-eleven.net
O1 - Hosts: 217.10.68.152 we9stun.winning-eleven.net

Жду дальнейших указаний

[MetalSerCore]

Еще прикладываю скриншот от Anvir, что он ругается на rutserv, с большим процентом уровня риска

[SQx]

А это вам известно?

Код:

O4 - HKCU\..\Run: [MPCScrobbler] = C:\Users\Сергей\Desktop\MPCScrobbler.exe  (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('RManService');
 DeleteService('RManService');
 QuarantineFile('C:\ProgramData\Windows\rutserv.exe','');
 QuarantineFileF('C:\ProgramData\Windows', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 DeleteFile('C:\ProgramData\Windows\rutserv.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(13);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно!


- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[MetalSerCore]

O4 - HKCU\..\Run: [MPCScrobbler] = C:\Users\Сергей\Desktop\MPCScrobbler.exe (file missing) - знакомо, это скроблинг песен для LastFM через Media Player Classic, почему правда он числится как на рабочем столе, не понятно, он лежит в Загрузках, к этой программе нет нареканий. Карантин прикреплён по форме. На сайты могу заходить, проверял на remontke и eset. Прикладываю логи Farbar.

[SQx]

Удалите остатки от антивируса F-secure


Сами устанавливали?

Код:

R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-04-07] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
2020-04-07 10:20 - 2020-04-07 10:20 - 000000000 __SHD C:\Program Files\RDP Wrapper

также следующее ваше (папка скрытая):

Код:

2020-04-07 10:19 - 2020-04-07 10:20 - 000000000 __SHD C:\rdp

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  SearchScopes: HKLM -> {86D4649F-450D-4DA2-AB75-F6B91AD579B8} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
  SearchScopes: HKLM-x32 -> {86D4649F-450D-4DA2-AB75-F6B91AD579B8} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
  SearchScopes: HKU\S-1-5-21-969513236-441617963-3270598917-1001 -> {86D4649F-450D-4DA2-AB75-F6B91AD579B8} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
  File: C:\windows\SysWOW64\Adobe\Director\np32dsw_1204144.dll
  CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?win=39&clid=37245","hxxp://www.google.com/","hxxp://vk.com/","hxxp://www.mail.ru/cnt/9516","hxxp://zagugli.com","hxxp://www.trovi.com/?gd=&ctid=CT3324774&octid=EB_ORIGINAL_CTID&ISID=M87B1DE9F-BA21-4C52-9FDF-5C0E817A329B&SearchSource=55&CUI=&UM=5&UP=SP69327C8C-1F97-4E24-80CB-247F1AE8733A&SSPV=","hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=811138"
  2020-04-07 10:19 - 2020-04-07 15:02 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
  2020-04-07 10:19 - 2020-04-07 15:02 - 000000000 __SHD C:\ProgramData\Doctor Web
  Folder: C:\rdp
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Users\Все пользователи\Norton
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Users\Все пользователи\grizzly
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Users\Все пользователи\ESET
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Users\Все пользователи\AVAST Software
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Users\Все пользователи\360safe
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\ProgramData\Norton
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\ProgramData\grizzly
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\ProgramData\ESET
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\ProgramData\AVAST Software
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\ProgramData\360safe
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\SpyHunter
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\Malwarebytes
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\Kaspersky Lab
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\ESET
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\Enigma Software Group
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\COMODO
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\Cezurity
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\ByteFence
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\AVG
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files\AVAST Software
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\Panda Security
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\Cezurity
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\AVG
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\Program Files (x86)\360
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\KVRT_Data
  2020-04-07 10:19 - 2020-04-07 10:19 - 000000000 __SHD C:\AdwCleaner
  2020-04-07 10:18 - 2020-04-08 17:26 - 000000000 __SHD C:\Users\Все пользователи\Windows
  2020-04-07 10:18 - 2020-04-08 17:26 - 000000000 __SHD C:\ProgramData\Windows
  2020-04-07 10:18 - 2020-04-08 07:15 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
  2020-04-07 10:18 - 2020-04-08 07:15 - 000000000 __SHD C:\ProgramData\RealtekHD
  2020-04-07 10:18 - 2020-04-07 12:15 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
  2020-04-07 10:18 - 2020-04-07 12:15 - 000000000 __SHD C:\ProgramData\RunDLL
  2020-04-07 10:18 - 2020-04-07 10:29 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
  2020-04-07 10:18 - 2020-04-07 10:29 - 000000000 __SHD C:\ProgramData\WindowsTask
  2020-04-07 10:18 - 2020-04-07 10:20 - 000000000 __SHD C:\Users\Все пользователи\install
  2020-04-07 10:18 - 2020-04-07 10:20 - 000000000 __SHD C:\ProgramData\install
  2020-04-07 10:18 - 2020-04-07 10:18 - 000000000 __SHD C:\Users\Все пользователи\Setup
  2020-04-07 10:18 - 2020-04-07 10:18 - 000000000 __SHD C:\ProgramData\Setup
  2020-04-07 10:18 - 2020-04-07 10:18 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
  Folder: C:\ProgramData\MB3Install
  File: C:\Windows\regtlib.exe
  AlternateDataStreams: C:\Users\Сергей\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\Сергей\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер будет перезагружен.

В AVZ выполнитe следующее:
"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

[MetalSerCore]

F-Secure подчистил.

R2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-04-07] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
2020-04-07 10:20 - 2020-04-07 10:20 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-04-07 10:19 - 2020-04-07 10:20 - 000000000 __SHD C:\rdp - О происхождении не знаю.

Код выполнил, система ребутнулась. Ключи удалил. Прикладываю fixлог. Имеются ли у меня ещё какие то проблемы, относительно другого рода, которые стоило бы исправить?