Решена rdpwrap.dll

[Aljbeth]

Я имею некоторое представление, что этот файл МОЖЕТ быть безобидным, но в данном случае не верю, потому что в систему попал 25.03

Спойлер: тык

и очень упорно не хотел удалятся.
Более того, попасть на сайты антивирусов не представлялось возможным, а хотелось хотя бы Вэбом пройтись по системе. Собственно, когда окольными путями перекинуть Вэб на комп удалось, он выдал кучу всего и в том числе rdpwrap.dll.

Спойлер: тык2

Систему в итоге Вэб очистил и больше ничего такого не выдавал, но я никому не верю, ничего не жду, поэтому хочется все-таки до конца пойти, может быть что-то новое откроется в логах.

 

[regist]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже в нормальном режиме).

 

[Aljbeth]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером (уже в нормальном режиме).

 

[Sandor]

Продолжим.

1. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

p.s.
Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

[Aljbeth]

Done

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AdobeAAMUpdater-1.0-DESKTOP-EE8ICM8-Admin" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\AdobeGCInvoker-1.0" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\BlueStacksHelper" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\BlueStacksHelper_nxt" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\CCleaner Update" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\CCleanerSkipUAC - Admin" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\CorelUpdateHelperTask-365FB0691F934ACFEEABD32ADB5EC5F8" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\CorelUpdateHelperTaskCore" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\Intel PTT EK Recertification" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore1d837e3bf24bb47" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(23): schtasks.exe -> /Change /TN "\OneDrive Reporting Task-S-1-5-21-3738212601-1364946964-2642604251-1002" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(24): schtasks.exe -> /Change /TN "\OneDrive Standalone Update Task v2" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(25): schtasks.exe -> /Change /TN "\OneDrive Standalone Update Task-S-1-5-21-3738212601-1364946964-2642604251-1002" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(26): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1582810220" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(27): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1551457319" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(28): schtasks.exe -> /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(29): schtasks.exe -> /Change /TN "\Обновление Браузера Яндекс" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(30): schtasks.exe -> /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE
  Task: {8B95FEE4-6DCF-435F-B3DC-19555555B427} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(31): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
  AutoConfigURL: [S-1-5-21-3738212601-1364946964-2642604251-1002] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  ManualProxies: 0hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  FF Extension: (Avast SafePrice | Сравнения, предложения, купоны) - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\bd4al2he.default-release\Extensions\sp@avast.com.xpi [2023-03-04]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Aljbeth]

Прикрепите его к своему следующему сообщению.

 

[Sandor]

Попробуйте самостоятельно очистить все исключения Защитника (они прописаны вредоносом).
Если не получится, сообщите, очистим скриптом.

 

[Aljbeth]

Попробуйте самостоятельно очистить все исключения Защитника (они прописаны вредоносом).
Если не получится, сообщите, очистим скриптом.

Сделано успешно.

Что-то еще нужно проделать?

 

[Sandor]

Да, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Aljbeth]

Да, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Sandor]

По возможности исправьте:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160 Внимание! Скачать обновления
Node.js v.13.5.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.5.6 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.0 Внимание! Скачать обновления
Telegram Desktop v.4.7 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
SoftEther VPN Client v.4.39.9774 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44954 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 261 v.8.0.2610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u361-windows-i586.exe - Windows Offline)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
AIMP v.v4.51.2084, 01.12.2018 Внимание! Скачать обновления
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
K-Lite Mega Codec Pack 15.3.0 v.15.3.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader - Russian v.22.003.20322 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.107.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 96.0.4693.80 v.96.0.4693.80 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.23.3.0.2246 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО