Решена Подозрение на удаленный доступ

[maxeminator]

Добрый день, запустил opencode+свой локальный сервер с ИИ qwen, получил предупреждение о якобы удаленном доступе к системе, все закрыл по удалял логи прикрепляю боюсь, что модель или обвязка с агентом могла начать вредоносы делать на моем пк, так же на втором скриншоте видно как запуск программы opencode плодит кучу подключений, поэтому переживаю что в системе осталась какая то гадость.
Заранее спасибо огромное за вашу работу

 

[Severnyj]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
 DeleteFile('C:\Program Files\ASTER\mutesv.exe', '64');
 DeleteFile('C:\Windows\system32\DRIVERS\mutenx.sys', '64');
 DeleteFile('C:\G-Menu\G-Menu.exe', '32');
 DeleteFile('C:\G-Menu\G-Menu.exe', '64');
 DeleteFile('C:\Program Files\ExitLag\exitlag_autostart.exe', '64');
 DeleteService('MUTENX_SERVICE');
 DeleteService('MUTESV_SERVICE');
 DelBHO('{0055C089-8582-441B-A0BF-17B458C2A3A8}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'G-Menu', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'G-Menu', 'x64');
 DeleteSchedulerTask('exitlag-S-1-5-21-1704341593-1187854200-2171173328-1001');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки,

Пофиксите в HJT (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [G-Menu] = C:\G-Menu\G-Menu.exe --openAsHidden (file missing) (2025/11/04)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - BITS Job: Fix all (including legit)
O23 - Driver R: (no name) - C:\Windows\system32\drivers\b76efab6f.sys (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[maxeminator]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

begin
 DeleteFile('C:\Program Files\ASTER\mutesv.exe', '64');
 DeleteFile('C:\Windows\system32\DRIVERS\mutenx.sys', '64');
 DeleteFile('C:\G-Menu\G-Menu.exe', '32');
 DeleteFile('C:\G-Menu\G-Menu.exe', '64');
 DeleteFile('C:\Program Files\ExitLag\exitlag_autostart.exe', '64');
 DeleteService('MUTENX_SERVICE');
 DeleteService('MUTESV_SERVICE');
 DelBHO('{0055C089-8582-441B-A0BF-17B458C2A3A8}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'G-Menu', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'G-Menu', 'x64');
 DeleteSchedulerTask('exitlag-S-1-5-21-1704341593-1187854200-2171173328-1001');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки,

Пофиксите в HJT (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll (file missing)
O4 - HKCU\..\StartupApproved\Run: [G-Menu] = C:\G-Menu\G-Menu.exe --openAsHidden (file missing) (2025/11/04)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - BITS Job: Fix all (including legit)
O23 - Driver R: (no name) - C:\Windows\system32\drivers\b76efab6f.sys (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

Вечер добрый, вот архив с логами, шаги выше выполнил

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\...\Run: [electron.app.MTS Link] => C:\Users\Max\AppData\Local\Programs\@wbnrwebinar-electron\MTS Link.exe --hidden (Нет файла)
File: C:\Windows\AppPatch\CustomSDB\{950d026e-be12-4dc6-988a-b15dcbc1e536}.sdb
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [llbjbkhnmlidjebalopleeepgdfgcpec] - C:\Program Files (x86)\Internet Download Manager\IDMEdgeExt.crx <не найдено>
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено>
CHR HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено>
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено>
S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys (Нет файла) <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{9174166b-1133-f6e5-c35a-a75eed7fbabf}\localserver32 -> "C:\Program Files\ASUS\AsusDriverHub\ASUS DriverHub.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\FileCoAuth.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

[maxeminator]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\...\Run: [electron.app.MTS Link] => C:\Users\Max\AppData\Local\Programs\@wbnrwebinar-electron\MTS Link.exe --hidden (Нет файла)
File: C:\Windows\AppPatch\CustomSDB\{950d026e-be12-4dc6-988a-b15dcbc1e536}.sdb
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [llbjbkhnmlidjebalopleeepgdfgcpec] - C:\Program Files (x86)\Internet Download Manager\IDMEdgeExt.crx <не найдено>
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено>
CHR HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-1704341593-1187854200-2171173328-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено>
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <не найдено>
S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys (Нет файла) <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{9174166b-1133-f6e5-c35a-a75eed7fbabf}\localserver32 -> "C:\Program Files\ASUS\AsusDriverHub\ASUS DriverHub.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> C:\Users\Max\AppData\Local\Microsoft\OneDrive\19.043.0304.0013\FileCoAuth.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-1704341593-1187854200-2171173328-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

Сделано

 

[Severnyj]

Остатки программы удаленного доступа удалили скриптом в AVZ, сейчас почистили мусор, сообщите, что с проблемами?

 

[maxeminator]

Остатки программы удаленного доступа удалили скриптом в AVZ, сейчас почистили мусор, сообщите, что с проблемами?

В целом вроде не наблюдается какого то левого трафика и прочего не вижу внутри системы

Как будто все норм

 

[Severnyj]

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

 

[maxeminator]

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

 

[Severnyj]

Обновите ПО:

Malwarebytes version 5.5.1.240 v.5.5.1.240 Внимание! Скачать обновления
Docker Desktop v.4.68.0 Внимание! Скачать обновления
Git v.2.49.0 Внимание! Скачать обновления
PowerShell 7-x64 v.7.5.5.0 Внимание! Скачать обновления
NVIDIA App 11.0.4.526 v.11.0.4.526 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.8.1 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.112.0 Внимание! Скачать обновления
qBittorrent v.5.1.0 Внимание! Скачать обновления
OBS Studio v.32.0.4 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.25.001.20744 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.147.0.7727.101 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

+++

Тема 'Рекомендации после удаления вредоносного ПО'

24 Янв 2012

1. Удалите инструменты, которые были использованы во время лечения:​

   • Как правильно удалить AVZ
   • Как правильно удалить Malwarebytes' Anti-Malware
   • Как правильно удалить AdwCleaner
   • Как правильно удалить Farbar Recovery Scan Tool

2. Создайте новую точку восстановления и удалите старые точки.​

   1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
   2. Нажмите Пуск - Программы – Стандартные –...

• Severnyj
• Ответы: 0
• Форум: Разное: Инструкции и рекомендации

• 

 

[maxeminator]

Обновите ПО:

Malwarebytes version 5.5.1.240 v.5.5.1.240 Внимание! Скачать обновления
Docker Desktop v.4.68.0 Внимание! Скачать обновления
Git v.2.49.0 Внимание! Скачать обновления
PowerShell 7-x64 v.7.5.5.0 Внимание! Скачать обновления
NVIDIA App 11.0.4.526 v.11.0.4.526 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.8.1 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.112.0 Внимание! Скачать обновления
qBittorrent v.5.1.0 Внимание! Скачать обновления
OBS Studio v.32.0.4 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.25.001.20744 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Google Chrome v.147.0.7727.101 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

+++

Тема 'Рекомендации после удаления вредоносного ПО'

24 Янв 2012

1. Удалите инструменты, которые были использованы во время лечения:​

   • Как правильно удалить AVZ
   • Как правильно удалить Malwarebytes' Anti-Malware
   • Как правильно удалить AdwCleaner
   • Как правильно удалить Farbar Recovery Scan Tool

2. Создайте новую точку восстановления и удалите старые точки.​

   1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
   2. Нажмите Пуск - Программы – Стандартные –...

• Severnyj
• Ответы: 0
• Форум: Разное: Инструкции и рекомендации

• 

Благодарю за помощь, как и всегда выше всех похвал спасибо порталу и всем причастным!