Здравствуйте! Только что удалил последние остатки злого и ужасного вируса. Решил написать статью, в которой укажу все, что мною предпринималось.
Все началось вчера вечером. Я сидел себе спокойно и смотрел фильм, как вдруг в правом верхнем углу выскочила надпись вида «Внимание! Включено видеонаблюдение!».
Сразу открыл интернет и отправился на поиски, оказалось, это RMS (программа удаленного управления компьютером).
Как только я нашел инструкцию по удалению, мышь задвигалась, браузер с инструкцией закрылся я быстренько высунул вилку из розетки, но было поздно. После перезагрузки в диспетчере задач открывалась N-ая количество процессов explorer.exe. Я сразу полез в Comodo и включил HIPS на максимум, открытие процессов заблокировалось, но антивирус показывал как самые разные программы пытаются сами себя открыть, а также внести изменения в регистр.
Дальше я загрузился в «Безопасном Режиме» и удалил RMS, но на этом нечего не закончилось.
- Открываем диспетчер задач и завершаем тот процесс который удастся закрыть rfusclient.exe
- Жмем кнопку win+R, ну или по русски пуск->выполнить, пишем regedit, далее жмем F3, после чего вписываем rfusclient или rfusclient.exe, нам выдаст строку (должно ее выделить) удаляем ее.
- Удаляем папку с программой C:Program FilesRemote Manipulator System
- Перезагружаемся
© Источник: bhf.su/threads/22007/?attempt=1
Следующие что я предпринял это включил автоматический сборщик логов. После чего скинул на флешку и с нормального компа полез в логи
/autologer/CollectionLog-XX.XX.XX-XX.XX/virusinfo_syscheck.zip/avz_sysinfo.htm
Открылась обычная html страница. Проанализиров все файлы, мне попались на глаза 3 очень странных файла
- c:windowssystem32syste32lsass.exe
- C:Windowssystem32syste32lsass.exe
- C:UsersbleefAppDataRoamingsyste32lsass.EXE
Насколько я знаю, таких путей не должно быть в системе. Дальше я нажал под ними кнопки удалить, а также в самом низу на кнопку «Чистка реестра после удаления файлов». У нас появился скрипт для avz, я его скопировал и попытался запустить на зараженном компьютере, но AVZ стал сразу зависать, тогда я решил загрузиться опять таки в «Безопасном режиме» и там запустили скрипт.
begin
DeleteFile('C:UsersbleefAppDataRoamingsyste32lsass.EXE','32');
DeleteFile('C:Windowssystem32syste32lsass.exe','32');
DeleteFile('c:windowssystem32syste32lsass.exe','32');
ExecuteSysClean;
end.
Включил компьютер в обычном режиме, отключил HIPS и, вуаля, все нормально. Единственно, что Google Chrome пока не работает, а так все нормально функционирует.
Надеюсь данная статья поможет новичкам при борьбе с вирусом. Не забывайте сканировать свои компьютеры. Удачи.
![Мой опыт собеседования в Google [оффер на L5]](https://www.pvsm.ru/wp-content/plugins/contextual-related-posts/timthumb/timthumb.php?src=http%3A%2F%2Fwww.pvsm.ru%2Fimages%2F2023%2F12%2F05%2Fmoi-opyt-sobesedovaniya-v-Google-offer-na-L5.jpg&w=100&h=100&zc=1&q=75 "Мой опыт собеседования в Google [оффер на L5]")
