В работе Подозрение на удаленный доступ

Переводчик Google
M

maxeminator

Новый пользователь
Сообщения
5
Реакции
1
Добрый день, запустил opencode+свой локальный сервер с ИИ qwen, получил предупреждение о якобы удаленном доступе к системе, все закрыл по удалял логи прикрепляю боюсь, что модель или обвязка с агентом могла начать вредоносы делать на моем пк, так же на втором скриншоте видно как запуск программы opencode плодит кучу подключений, поэтому переживаю что в системе осталась какая то гадость.
Заранее спасибо огромное за вашу работу
 

Вложения

  • 1776510710607.webp
    1776510710607.webp
    36 KB · Просмотры: 3
  • 1776510867084.webp
    1776510867084.webp
    26.6 KB · Просмотры: 2
  • CollectionLog-2026.04.18-14.07.zip
    CollectionLog-2026.04.18-14.07.zip
    111.1 KB · Просмотры: 1
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 DeleteFile('C:\Program Files\ASTER\mutesv.exe', '64');
 DeleteFile('C:\Windows\system32\DRIVERS\mutenx.sys', '64');
 DeleteFile('C:\G-Menu\G-Menu.exe', '32');
 DeleteFile('C:\G-Menu\G-Menu.exe', '64');
 DeleteFile('C:\Program Files\ExitLag\exitlag_autostart.exe', '64');
 DeleteService('MUTENX_SERVICE');
 DeleteService('MUTESV_SERVICE');
 DelBHO('{0055C089-8582-441B-A0BF-17B458C2A3A8}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'G-Menu', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'G-Menu', 'x64');
 DeleteSchedulerTask('exitlag-S-1-5-21-1704341593-1187854200-2171173328-1001');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки,

Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O2-32 - HKLM\..\BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [G-Menu] = C:\G-Menu\G-Menu.exe --openAsHidden (file missing) (2025/11/04)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - BITS Job: Fix all (including legit)
O23 - Driver R: (no name) - C:\Windows\system32\drivers\b76efab6f.sys (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)


Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу