Антивирус завис на файле rdpwrap.dll

[Макс567]

Здравствуйте,  у меня серьезная проблема, в интернете подхватил жесткий вирус. Как я понял, его задача майнинг используя ресурсы моего пк. Изначально заметил, когда в простое был пк, начали работать обороты вентиляторов на максимум.  Когда включил "диспетчер задач", чтоб посмотреть, что грузит систему и моментально падали обороты и всё приходило в норму. После я подумал зайти на сайты скачать антивирус, но ни Касперский, ни eset nod32 ни какой либо другой не открывал сайт. Просто как будто нет интернета, а другие всё сайты открывал кроме антивирусных. После, выбора не было, скачал со староних сайтов антивирус с уже установочным полностью с обновление и тд. эксэшный(exe) одним файлом. Он был в папке, но после его нажатия просто исчез. А и еще не сказал, что "диспетчер задач" сам автоматически закрывался  и вновь начинал работать на полную мощность. Далее я в старый ноутбук поставил антивирус Касперский, а жесткий диск с зараженного ноутбука поставил через бокс и по usb подключил в старый ноутбук с антивирусом. Проверил 99% и завис на файле rdpwrap.dll и так уже четвертый час, ну мне кажется уже ничего не изменится. Полный путь Е:(он же С: если бы стоял в зараженном ноутбуке)\Program Files\RDM Wrapper\rdpwrap.dll . Можно ли с ним побороться или проще переустановить Виндовс

p.s. точки восстановления нет

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

Только сбор логов нужно выполнять на проблемном ноутбуке.

[Макс567]

10 часов назад, thyrex сказал:

Только сбор логов нужно выполнять на проблемном ноутбуке.

В старом ноутбуке закончил проверку(простоял всю ночь, но закончил проверку) удалил вирусы. Вставил в проблемный ноутбук, всё заработало, но при установке антивируса выдает ошибку невозможности установить его(на  этот раз устанавливал ESET). Продела операцию со сборщиком логов.

CollectionLog-2020.06.18-11.57.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\TermService\Parameters', 'ServiceDll', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

"Пофиксите" в HijackThis (некоторых строк может не быть):

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe  (file missing)

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O15 - Trusted Zone: http://webcompanion.com
O22 - Task: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.