[РЕШЕНО] Несколько троянов на устройстве

[gproof]

Здравствуйте, я провел сканирование с помощью windows defender и он показывает что на моём компьютере 3 трояна. Провёл сканирование с помощью KVRT, он ничего не нашел. Каких то подозрительных программ в диспетчере задач я не наблюдал, ноутбук работает отлично, но само наличие каких-то критических угроз (как пишет win defender) настораживает. Удалить антивирусник windows их не может, только помещает в карантин.

CollectionLog-2023.03.21-12.44.zip

Изменено 21 марта, 2023 пользователем gproof

[Sandor]

Здравствуйте!

 

При помещении угрозы в карантин она изолируется таким образом, что самостоятельно восстановиться не сможет. Поэтому беспокоиться не о чём.

Срабатывание было на некий генератор ключей и какие-то настройки браузера FF.

 

Для верности сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[gproof]

Хочу отметить также, что HTML Phish не удаляется вроде как, при каждом полном сканировании через win defender вылезает окно, что он обнаружен. Ещё хотел бы поинтересоваться, почему генераторы ключей (кейгены) обнаруживаются как трояны, и их видит win defender не все с уровнем угрозы "критическая", а только некоторые, или их намеренно пичкают вирусами? Я скачиваю пиратский софт часто, и большинство кейгенов с уровнем угрозы "низкая".

A.ddition.txt FRST.txt

Изменено 21 марта, 2023 пользователем gproof

[Sandor]

13 минут назад, gproof сказал:

почему генераторы ключей (кейгены) обнаруживаются как трояны

Это программы без проверенной цифровой подписи, пытаются внести изменения в реестр, в исполняемые файлы и т.п. Как ещё прикажете реагировать антивирусу?

Большинство современных угроз попадает в систему именно при установке и запуске подобного софта.

18 минут назад, gproof сказал:

Я скачиваю пиратский софт часто

Вы можете уповать только на "порядочность" авторов подобных программ.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AV: Kaspersky Security Cloud (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[gproof]

Fixlog.txt

[Sandor]

Что сейчас "показывает" Защитник?

[gproof]

[Sandor]

Вот и хорошо!

 

Завершаем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[gproof]

SecurityCheck.txt

[Sandor]

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Node.js v.18.12.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46716 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Spotify v.1.2.5.1006.g22820f93 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

[gproof]

Спасибо большое за помощь, удачи вам🙂

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".