[РЕШЕНО] Проблема с ScreenConnect (возможно ратник?)

[Kirl]

CollectionLog-2026.03.27-15.55.zip Давайте сразу начнем с того, что сегодня включив ПК и введя пароль, мне без всяких загрузок предъявляются, что в доступе отказано, хотя пароль правильный и состоит из цифр, там раскладка не играет роли. После перезагрузки проблема решилась, но я очень перепугался, у меня первый раз такое и теперь я боюсь выключать ПК вообще. Вся история резко началась 25.03.26 в 3:58. Дефендер выдает следующее: Trojan:Win32/Wacatac.H!ml Эта опасная программа выполняет команды злоумышленника. C:\Users\Kir\Documents\ScreenConnect\Temp\SimpleRunPE.exe - угроза критическая. Я удалил её через дефендер. Потом через некоторое время, уже днём, сидя в браузере, брандмауэр жалуется на что-то подозрительное (есть скриншот, могу прикрепить если нужно будет и в целом у меня иного информации), но если кратко, там путь был примерно windows/cashes/.../securityhealthhost.exe, я не дал доступа, нажал отмена. Я пошел по пути этого подозрительного файла, сам найти не смог, файл был невидимым, хотя скрытые папки показаны, поэтому я просто скопировал путь и наткнулся на качку странных файлов, один их которых назывался SRBminer, но папка была пуста. Естественно у меня уже с самого начала, с первого дня, какая-то паника и страх уже. Что я только не пытался делать.. и процессы смотреть, и удалять, и задачи удалять, и автономным модулем дефендер проходился и т.п. Также у меня есть точка восстановления на 6 марта, всё покоя не дает, вдруг сработает?..  На следующий день - 26.03.26 в 19:03 при включении ПК я вижу это Trojan:Win32/Suweezy Эта опасная программа выполняет команды злоумышленника. Угроза критическая. И куча, куча разных затронутых элементов в реестре, не буду всё отправлять пока что, чтобы не спамить, скину один элемент: regkeyvalue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\ Он вроде как дефендер пытался сломать или отключить постоянно. Потом периодически заходя в журнал защиты горел желтый восклицательный знак, якобы защита отключена, устройство может быть уязвимо, но перезаходя всё обратно восстанавливалось.. Также потом еще кучку других странных файлов находил, например в windows/cashes/D3F4E2A1/RuntimeHost.exe. Позже браузер начал постоянно выпрашивать сброс настроек, заходя в него. Много информации искал в интернете, сам пытался что-то делать, но всё без толку как будто. В общем, чтобы не спамить большим количеством текста, пожалуй на этом закончу.. Скажу что последнее что я делал, это пропускал весь ПК через дефендер, KVRT и Dr.Web. Они что-то находили (кроме дефендера) ,что-то лечили, но по ощущениям никакого толка. Скорее всего я зачистил только майнеры и трояны, который заносит ScreenConnect, а само сердце спокойно работает. По-моему еще это безйфайловый вирус, который живет в оперативной памяти. Заранее спасибо

[Kirl]

Я кажется неправильно загрузил лог? На всякий случай перезалил его сейчас и дополню свой ответ, может вам так понятнее будет.. (спасибо нейросетям). 

Здравствуйте! Столкнулся с проблемой возможно сложного трояна/удалённого RAT (AsyncRAT / ScreenConnect Client), который по всей видимости остался в системе до сих пор.

Симптомы и история:

Появились лаги в играх и системные аномалии.

Microsoft Defender и Kaspersky обнаруживали угрозы периодически, но после лечения или перезагрузок они исчезали из отчетов, хотя Dr.Web снова их находил.

Основные найденные угрозы: ScreenConnect.Client.exe, ScreenConnect Windows Authentication Package DLL, заражённые контейнеры с ПО для RGB видеокарты и Minecraft.

Троян использует ScreenConnect как «мост» для загрузки других вредоносных программ, может маскироваться под системные файлы и восстанавливаться после удаления.

Были случаи блокировки или изменения работы Defender, появления странного поведения браузера (сброс настроек, открытие Яндекс/Дзен), задержки клавиатуры/мыши при запуске.

Проверки проводил: Kaspersky, Dr.Web CureIt!, Microsoft Defender. Dr.Web нашёл угрозы, которые другие антивирусы не видели.

Меры, которые я предпринял:

Полная проверка Dr.Web и Kaspersky (с безопасным режимом и без него)

Очистка всех обнаруженных угроз (удаление и карантин)

Сброс браузера, сохранение вкладок

Сбор логов с помощью AutoLogger с последующим архивированием

Цель обращения:
Нужна помощь в полном удалении оставшихся компонентов ScreenConnect / AsyncRAT, включая скрытые или системные файлы, чтобы исключить возможность восстановления трояна.

CollectionLog-2026.03.27-15.55.zip

[Sandor]

Здравствуйте!

 

Найдите, если сможете, отчёт CureIt (обычно в папке профиля) в виде файла cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

Также упакуйте в архив папку C:\KVRT2020_Data\Reports и тоже прикрепите.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = hxxp://127.0.0.1:12334 (disabled)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.
 

Не переживайте, если отвечу не сразу.

 

 

[Kirl]

Пока ПК в порядке, отправляю сразу архивы Cureit и KVRT. Чуть позже прикреплю остальное. И хочу кое-что добавить: пока занимался всем этим, обнаружил нечто страшное у себя в исключениях дефендера. Я ничего из этого не делал и не добавлял.. Надеюсь фото можно было прикреплять

Reports.zip cureit.zip

 

Что-то не давало нормально загружать эти отчеты, бесконечная загрузка была, но вот получилось наконец. Все указания четко выполнил, по очереди, по инструкции. Скан выполнил, отчеты прикрепил. HijackThis пофиксил, две строчки только было. Еще ПК до последнего не давал установить FRST, мол вирус, опасен и всё такое, но я на доверии постоянно разрешал. Еще раз спасибо за уже начатую помощь! Очень надеюсь, что всё будет в порядке и удастся вылечить этот недуг..

 

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\Software\...\Authentication\Credential Providers: [{6FF59A85-BC37-4CD4-27FC-BAD8721D6142}] -> C:\Program Files (x86)\Windows VC\ScreenConnect.WindowsCredentialProvider.dll [2025-04-08] (Connectwise, LLC -> ) <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882]
  StartPowershell:
  Remove-MpPreference -ExclusionPath "C:"
  Remove-MpPreference -ExclusionPath "D:"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\Microsoft\Windows\Caches\D3F4E2A1\RuntimeHost.exe"
  Remove-MpPreference -ExclusionPath "C:\Users\Kir\AppData\Local\Microsoft\Windows\Caches\D3F4E2A1\RuntimeHost.exe"
  Remove-MpPreference -ExclusionProcess "svchost.exe"
  Remove-MpPreference -ExclusionProcess "InstallUtil.exe"
  Remove-MpPreference -ExclusionProcess "RegAsm.exe"
  Remove-MpPreference -ExclusionProcess "RegSvcs.exe"
  Remove-MpPreference -ExclusionProcess "MSBuild.exe"
  Remove-MpPreference -ExclusionProcess "AppLaunch.exe"
  Remove-MpPreference -ExclusionProcess "AddInProcess.exe"
  Remove-MpPreference -ExclusionProcess "aspnet_compiler.exe"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  FirewallRules: [TCP Query User{F41BBF58-A166-42F7-B0C9-1CCD242BB809}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe (Microsoft Corporation -> Microsoft Corporation)
  FirewallRules: [UDP Query User{A4E9F495-21FF-409D-ACE3-B45573FE1D56}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe (Microsoft Corporation -> Microsoft Corporation)
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Kirl]

Вроде сработало, исключения в дефендер пропали пока что, а браузер вышел с аккаунтов, но вкладки остались. В любом случае это значит скрипт сработал я считаю и всё по плану

Fixlog.txt

 

Хочу добавить, что я до сих пор вижу папку этого паршивого ScreenConnect по пути C Users Kir Documents ScreenConnect (в нем ещё папка Temp лежит, но она пуста показывает). Ещё, возможно, это очевидно, но хочу сказать, что я никогда не пользовался ScreenConnect и не ставил его на свой ПК. Я даже не знал о существовании таковом, пока не столкнулся с этим. Никогда не давал доступ к управлению своего ПК, я знаю что так можно и делают для помощи в работе, но не в моем случае 

[Sandor]

1 час назад, Kirl сказал:

вижу папку этого паршивого ScreenConnect

Просто удалить эту папку можете? Если не получается, выполните скрипт (без перезагрузки).

• Выделите следующий код:

  Start::
  2026-03-27 00:23 - 2026-03-27 00:23 - 000000000 ____D C:\Users\Kir\Documents\ScreenConnect
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

 

 

[Kirl]

Получилось вроде удалить, но я по-моему и ранее это делал, он восстанавливался потом. Сейчас будет-ли интересно?

[Sandor]

Сделайте ещё такую процедуру:

 

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

• Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
• После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
• Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
• По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
• Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.
  

[Kirl]

Хорошо, прямо сейчас этим займусь 

[Kirl]

Я всё выполнил, но что-то не могу найти отчёта..

[Sandor]

Напишу разработчику, вероятно некая ошибка в программе.

 

Хорошо, проделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Kirl]

Хорошо, сейчас займусь этим. Uninstall уже выполнил, но вот хочу отметить, что теперь one drive и g hub например стали запускаться с автозагрузкой, но это наверное последствия лечения я так понимаю. А также в проводнике всё поменялось, ну сбросилось наверное грубо говоря, я так понимаю та же причина 

 

SecurityCheck.txt

[Sandor]

Подумайте о переходе на актуальную версию системы:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

Исправьте по возможности:

PrivaZer v.4.0.118.0 Внимание! Скачать обновления
CPUID CPU-Z 2.18 v.2.18 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
NVIDIA App 11.0.6.383 v.11.0.6.383 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
TechPowerUp GPU-Z v.2.51.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33816 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9028 Внимание! Скачать обновления
Zoom Workplace v.6.7.8 (32670) Внимание! Скачать обновления
qBittorrent v.4.5.4 Внимание! Скачать обновления
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
 

---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.2.0f3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

[Kirl]

Выходит на данный момент всё? Угроза устранена? Нечего бояться и можно-ли пользоваться ПК свободно? Осталось только рекомендации выполнить? Я думаю может вообще на Windows 11 пересесть, вдруг именно из-за этого я и поймал что-то