Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Словил себе троян, просьба помочь очистить ОС (http://forum.oszone.net/showthread.php?t=353975)

mefala1337 08-08-2023 15:46 3013546
Словил себе троян, просьба помочь очистить ОС
 
Вложений: 1
Здравствуйте!..

Случайно (по-глупости, конечно), установил себе троян AutoIt, просьба помочь очистить ОС.

Логи AutoLogger'а прилагаю:

mefala1337 08-08-2023 15:55 3013547
Вложений: 3
И ещё логи Farbar и Security Check, помогите пожалуйста!

Sandor 09-08-2023 07:59 3013608
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

mefala1337 09-08-2023 08:58 3013613
Вложений: 2
Сделал:

Sandor 09-08-2023 09:32 3013615
Хорошо, продолжаем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

mefala1337 09-08-2023 09:41 3013618
Вложений: 2
Сделал тоже:

Sandor 09-08-2023 09:54 3013622
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
    2023-08-08 15:23 - 2023-08-08 15:23 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
    2023-08-08 15:23 - 2023-08-08 15:23 - 000000000 __SHD C:\ProgramData\princeton-produce
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

mefala1337 09-08-2023 10:02 3013625
Вложений: 1
Сделал!

Sandor 09-08-2023 10:10 3013626
Хорошо. Что сейчас с проблемой?

mefala1337 09-08-2023 10:11 3013627
Спасибо, вроде всё чисто стало. :) :)

Поклон вам!

Sandor 09-08-2023 10:13 3013628
Отлично!

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

mefala1337 09-08-2023 10:19 3013629
Вложений: 1
Тоже сделал:

Вопрос — если я прям сразу, за день заметил троян и с вашей помощью очистил ПК, обязательно надо менять все не 2FA пароли, хранимые в Google Password, или они в (относительной) безопасности?

Sandor 09-08-2023 11:23 3013634
Конкретно этот майнер не замечен в краже паролей. Но, как понимаете, периодически менять важные пароли - полезно.

Исправьте по возможности:
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
eMule Внимание! Клиент сети P2P с рекламным модулем!.


Читайте Рекомендации после лечения.


Время: 17:43.

Время: 17:43.
© OSzone.net 2001-