Не уверен, что Windows Defender смог вылечить трoян AgentTesla!

[drvebb3]

Чуть больше недели назад Gmail вылогинил из явщика и рекомендовал проверить компьютер на вирусы. Действительно Защитник Windows нашел траяны AgentTesla!, Pronzy.Alml, Android05/ZkarletFlash. Последние два были успешно помещены в карантин, а про AgentTesla! было написано, что нет уверенности в успехе лечения. Более поздние проверки Защитником Windows, утилитой Dr.Web, Avast-ом ничего не выявили, но хотелось бы убедиться, что траяны действительно обезврежены. Заранее спасибо!

[Info_bot]

Уважаемый(ая) drvebb3, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Отключите до перезагрузки все экраны Avast.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFileMask('c:\users\fb\appdata\local\browserupdphenix', '*', true);
 DeleteDirectory('c:\users\fb\appdata\local\browserupdphenix');
 DelCLSID('{1B96FAD8-1C10-416E-8027-6EFF94045F6F}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CL-26-5BD68784-2DA2-4D75-BBE3-4795B2417D85', 'x64');
 DeleteSchedulerTask('Browserupdphenix');
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив Events.7z, прикрепите к сообщению, если не войдёт во вложения, загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Vvvyg]

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[drvebb3]

Сделал.

[Vvvyg]

Всё на этом.

[drvebb3]

То есть все чисто, можно работать спокойно? Еще раз большое спасибо! Пошел в раздел "Помощь проекту".

[Vvvyg]

Пошел в раздел "Помощь проекту".

Нет уже рабочих вариантов донатов, к сожалению, не парьтесь.

[drvebb3]

Нет уже рабочих вариантов донатов, к сожалению, не парьтесь.

Тогда примите еще раз слова искренней признательности. Если это не сложно, прошу отцепить файл с логами от исходного сообщения в теме. Немного смущает, что результаты сканирования компа лежат в открытом доступе.

[Vvvyg]

Не совсем в открытом, доступ к вложениям в этом разделе имеет довольно ограниченный круг пользователей. Но хорошо, логи убрал.