Авторская статья Как удалить Arkei ******* (AZORult *******)

Уважаемые пользователи! Из-за массового скачивания данного вируса от LEGUNDA_inactive226837 решил написать данную статью.
И так, в данной теме: https://zelenka.guru/threads/614400/ пользователь LEGUNDA_inactive226837 слил панель + билдер, но билдер оказался заражённым.
Что же вы "подцепили"? По сути обычный Arkei *******. С билдером была склейка. Он слил ваши сохранённые логины, пароли, куки
Что же делать? Как же проверить мой компьютер?
На эти вопросы я постараюсь вам ответить.
И так, при запуске билдера у вас в директории:

C:\ProgramData\Arkei-fabbc6a1-c573-4ea0-9ca1-50004b35a440\

Код

C:\ProgramData\Arkei-fabbc6a1-c573-4ea0-9ca1-50004b35a440\

должен быть файл 6601615979.exe, либо аналогичный.
Удаляем его.

Примечание!
Если у вас ошибка при удалении доступа, и диалоговое окно выдаёт ошибку связанное с отсутствием доступа, то переименуйте данный файл (потребует права администратора), а затем удаляйте файл.

Также при запуске данного файла были созданы следующие файлы:

C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\builder.exe C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\builder.exe" "
C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Rust Boom.exe C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Rust Boom.exe" "
C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe" /c taskkill /im Rust Boom.exe /f & erase C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Rust Boom.exe & exit"

Код

C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\builder.exe C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\builder.exe" "

C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Rust Boom.exe C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Rust Boom.exe" "

C:\Windows\System32\cmd.exe C:\Windows\System32\cmd.exe" /c taskkill /im Rust Boom.exe /f & erase C:\DOCUME~1\<USER>~1\LOCALS~1\Temp\Rust Boom.exe & exit"

Переходим по указанным директориям и удаляем аналогичным способом.

Возможно у вас не запускается ОС после запуска файла, или подобные ошибки. Чтобы этого избежать переходим в "Безопасный режим" и выполняем вышеописанные действия.
Далее рекомендую скачать оригинальные файлы для вашей ОС.

C: \ Windows \ System32 \ cmd.exe
C: \ WINDOWS \ system32 \ Taskkill.exe

Код

C: \ Windows \ System32 \ cmd.exe

C: \ WINDOWS \ system32 \ Taskkill.exe

Возможно они заражены.

Троянская программа, размер 170 кб, иконка визуально неотличима от иконки архива WinRar. Троян написан на Delphi, упакован.
В случае запуска троян скрытно выполняет следующие операции:
1. Пытается удалить файл WINDOWS\system32\taskmgr.exe – это диспетчер задач.
2. Создает свою копию в файле WINDOWS\system32\explorer32.exe
3. Регистрирует скопированный файл в автозапуске, применяется нестандартный ключ автозапуска (Winlogon\Userinit)
4. Повреждает отображение окна «Рабочий стол», в результате чего рабочий стол и панель задач визуально исчезают (но тем не менее процессе explorer.exe продолжает работать)
5. Запускает WINDOWS\system32\explorer32.exe, после чего завершает работу
После этого на экран поверх всех окон выводится сообщение на русском языке, предлагающее послать SMS на платный номер для разблокировки компьютера и ввести полученный код ответа. Остановить троянский процесс пользователь не может, так как диспетчер задач удален.

Обнаружение и уничтожение трояна:
1. Процесс трояна не маскируется, поэтому достаточно остановить процесс explorer32.exe и удалить исполняемый файл, после чего следует перезагрузить компьютер
2. После перезагрузки следует проверить, существует ли на диске файл WINDOWS\system32\taskmgr.exe. Если он отсутствует, то его необходимо восстановить вручную из резервной копии или дистрибутива системы

Скрин директории

Если есть вопросы по данному поводу, то пишите по контактам.
UPD: также настоятельно рекомендую проверить систему через утилиту UnHackMe