Перейти к содержанию
Правила раздела

[РЕШЕНО] Троян Phonzy.A!ml

Simphonia193610

Автор Simphonia193610
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Simphonia193610

Simphonia193610

Опубликовано
Опубликовано (изменено)

Здравствуйте, скачивал VST плагины для FL Studio и скачал какой то бандл. Спустя день Windows Defender оповестил меня об этом вирусе. Скачал Kaspersky, провёл полное сканирование, он ничего не нашел, также скачивал Dr.Web cureit, он также ничего не обнаружил. Запуск компьютера в безопасном режиме не помогает, троян всё равно активно работает. (Я это понимаю потому, что вентиляторы моего ноутбука крутятся на полную мощность) Windows Defender также мне отображает об этой угрозе. Когда нажимаю "Применить действия - Удалить" ничего не происходит и вирус никак не может удалиться. У меня Windows 11. В диспетчере задач нету никаких неизвестных процессов, при открытии задач мои вентиляторы никак не сбавляют мощность

CollectionLog-2022.12.20-23.21.zip

Изменено пользователем Simphonia193610
Неправильное название антивируса
mike 1

mike 1

Опубликовано
Опубликовано

DriverPack если не используете, то можно очистить все найденное. В каком файле Windows Defender находит угрозу?

Simphonia193610

Simphonia193610

Опубликовано
  • Автор
Опубликовано (изменено)
6 минут назад, mike 1 сказал:

DriverPack если не используете, то можно очистить все найденное. В каком файле Windows Defender находит угрозу?

Driverpack'om не пользуюсь

 

6 минут назад, mike 1 сказал:

DriverPack если не используете, то можно очистить все найденное. В каком файле Windows Defender находит угрозу?

 

 

IMG_20221220_235656_333.png

Изменено пользователем Simphonia193610
mike 1

mike 1

Опубликовано
Опубликовано

А на рабочем столе этого файла нет? Что показывает проверка с помощью сервиса VirusTotal этого файла?

Simphonia193610

Simphonia193610

Опубликовано
  • Автор
Опубликовано
19 часов назад, mike 1 сказал:

А на рабочем столе этого файла нет? Что показывает проверка с помощью сервиса VirusTotal этого файла?

Эту папку с рабочего стола я удалил (кинул в корзину и очистил её). Соответственно в VirusTotal уже не могу проверить, я не понимаю откуда он ее там видит, если ее там нету

19 часов назад, mike 1 сказал:

А на рабочем столе этого файла нет? Что показывает проверка с помощью сервиса VirusTotal этого файла?

Ой, я ошибся похоже, обнаружил у себя .7z архив, я его сейчас удалил (до этого я удалил распакованный 7z архив)

 

19 часов назад, Simphonia193610 сказал:

Эту папку с рабочего стола я удалил (кинул в корзину и очистил её). Соответственно в VirusTotal уже не могу проверить, я не понимаю откуда он ее там видит, если ее там нету

Ой, я ошибся похоже, обнаружил у себя .7z архив, я его сейчас удалил (до этого я удалил распакованный 7z архив)

Но Windows Defender до сих пор отображает этот Троян

 

19 часов назад, Simphonia193610 сказал:

Но Windows Defender до сих пор отображает этот Троян

Через приложение EveryThing на Рабочем столе я обнаружил как раз таки .exe файл который был указан в скриншоте выше, попробовал удалить его через это приложение, ничего не вышло. Этот вирус нигде не отображается (я пытался зайти через проводник по "C:\Users\samar\Desktop" и найти этот файл (функция отображения скрытых файлов и папок у меня включена) но он не отображается.

mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены как на скриншоте ниже
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Simphonia193610

Simphonia193610

Опубликовано
  • Автор
Опубликовано
12 часов назад, mike 1 сказал:

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены как на скриншоте ниже
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 


3munStB.png

Я заметил также одну особенность, что когда я включаю ноутбук он сразу запускает вентиляторы и они работают на почти полную мощность,но это пока я не подключен к интернету, как только я подключаюсь к интернету мощность вентиляторов сразу убавляется

FRST.txt Addition.txt

mike 1

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-887027648-2083623767-613766944-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
C:\Users\samar\Desktop\Arturia - FX Collection 2021.1 R2 VST, VST3, x64 (NO INSTALL, SymLink Installer) [03.03.2021].exe
FirewallRules: [{FB8A752F-3498-4FF8-BDE3-7C609DD395B3}] => (Allow) C:\Users\samar\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{41C49636-5A7A-428D-9F53-B8366BE32199}] => (Allow) C:\Users\samar\AppData\Local\Programs\Opera\79.0.4143.22\opera.exe => Нет файла
FirewallRules: [{59BB6FE3-F059-47B2-9C8D-A84B0CBDB8D5}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{327D531B-51B5-4FE1-BB97-C3DEACB1C0EB}] => (Allow) C:\Users\samar\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{FA8D2A45-8D9A-4314-9A04-E290AAC6DE7E}] => (Allow) C:\Users\samar\AppData\Local\Programs\Opera\64.0.3417.73\opera.exe => Нет файла
Folder: C:\Users\samar\Desktop\



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Simphonia193610

Simphonia193610

Опубликовано
  • Автор
Опубликовано
1 час назад, mike 1 сказал:

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-887027648-2083623767-613766944-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
C:\Users\samar\Desktop\Arturia - FX Collection 2021.1 R2 VST, VST3, x64 (NO INSTALL, SymLink Installer) [03.03.2021].exe
FirewallRules: [{FB8A752F-3498-4FF8-BDE3-7C609DD395B3}] => (Allow) C:\Users\samar\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{41C49636-5A7A-428D-9F53-B8366BE32199}] => (Allow) C:\Users\samar\AppData\Local\Programs\Opera\79.0.4143.22\opera.exe => Нет файла
FirewallRules: [{59BB6FE3-F059-47B2-9C8D-A84B0CBDB8D5}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{327D531B-51B5-4FE1-BB97-C3DEACB1C0EB}] => (Allow) C:\Users\samar\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{FA8D2A45-8D9A-4314-9A04-E290AAC6DE7E}] => (Allow) C:\Users\samar\AppData\Local\Programs\Opera\64.0.3417.73\opera.exe => Нет файла
Folder: C:\Users\samar\Desktop\


     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

Вот лог, мой компьютер не был перезагружен и архив тоже не создался

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано
Цитата

fixlist содержимое:
*****************
CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-887027648-2083623767-613766944-1001\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла) C:\Users\samar\Desktop\Arturia - FX Collection 2021.1 R2 VST, VST3, x64 (NO INSTALL, SymLink Installer) [03.03.2021].exe FirewallRules: [{FB8A752F-3498-4FF8-BDE3-7C609DD395B3}] => (Allow) C:\Users\samar\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла FirewallRules: [{41C49636-5A7A-428D-9F53-B8366BE32199}] => (Allow) C:\Users\samar\AppData\Local\Programs\Opera\79.0.4143.22\opera.exe => Нет файла FirewallRules: [{59BB6FE3-F059-47B2-9C8D-A84B0CBDB8D5}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла FirewallRules: [{327D531B-51B5-4FE1-BB97-C3DEACB1C0EB}] => (Allow) C:\Users\samar\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла FirewallRules: [{FA8D2A45-8D9A-4314-9A04-E290AAC6DE7E}] => (Allow) C:\Users\samar\AppData\Local\Programs\Opera\64.0.3417.73\opera.exe => Нет файла Folder: C:\Users\samar\Desktop\
*****************

"HKU\CreateRestorePoint: CloseProcesses: S-1-5-21-887027648-2083623767-613766944-1001\Software\Microsoft\Windows\CurrentVersion\Run" => не найдено

==== Конец от Fixlog 17:47:18 ====

Как-то очень странно скопировали содержимое скрипта в файл. 

Simphonia193610

Simphonia193610

Опубликовано
  • Автор
Опубликовано
6 минут назад, mike 1 сказал:

Как-то очень странно скопировали содержимое скрипта в файл. 

Исправил, вот новый файл

Fixlog (1).txt

1 минуту назад, Simphonia193610 сказал:

Исправил, вот новый файл

Fixlog (1).txt 2.94 kB · 0 загрузок

Windows Defender больше не обнаруживает тот вирус

mike 1

mike 1

Опубликовано
Опубликовано

Видимо глюк был Windows Defender. Его кстати лучше отключить при установленном Kaspersky Security Cloud. 

Simphonia193610

Simphonia193610

Опубликовано
  • Автор
Опубликовано
35 минут назад, mike 1 сказал:

Видимо глюк был Windows Defender. Его кстати лучше отключить при установленном Kaspersky Security Cloud. 

Не думаю что глюк ибо у меня и вправду компьютер работал на полную мощность и сам файл существовал. (Я с помощью одной программы это узнал) вроде после запуска вашего скрипта оно удалилось. Поэтому огромное спасибо за помощь. 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Malorym_Inqyy
      [РЕШЕНО] Троян в бесплатном впн
      Автор Malorym_Inqyy
      Здравствуйте, вчера скачал бесплатный впн, заметил, что в диспетчере появился процесс который грузит мой процессор, из-за чего компьютер стал сильно гудеть. Прошу помочь!
      CollectionLog-2025.12.05-14.31.zip
    • Kkaj
      Trojan/Win32.Tiggre
      Автор Kkaj
      хочу установить приложение, закинул на вирус тотал https://www.virustotal.com/gui/file/e85efe251c012827fa88e7dfa266b46e0df8c234acb8b6a21ed3ea209748df80?nocache=1, касперский ничего не показал, ему хоть и доверяю больше но Antiy-AVL показывает троян(остальные китайские нн)
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов"
    • setl1ne
      [РЕШЕНО] Помогите устранить последствия присутствия майнера
      Автор setl1ne
      Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления, помогите вернуть систему к рабочему состоянию
    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


    • salad
      помогите удалить NET:MINERS.URL
      Автор salad
      Dr Web CureIt! обнаружил NET:MINERS.URL и не может его вылечить
      https://dropmefiles.com/kM9Ct - логи cureit
×
×
  • Создать...