Перейти к содержанию
Правила раздела

Trojan:Win32/Casdet!rfn и Trojan:Win32/AgentTesla!ml

Asya

Автор Asya
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Asya

Asya

Опубликовано
Опубликовано

Добрый день!

Несколько дней назад после скачивания из ВК и открытия файла электронной книжки Вин Дефендер начал ругаться на Trojan:Win32/Casdet!rfn. С трудом его всё-таки заблочил. Хотя я даже не знаю, на какой конкретно файл exe он ссылался, не проверила. Полезла тогда на сайт Доктора Вэба за CureIt, но на него он тоже возмутился, уже как на Trojan:Win32/AgentTesla!ml. Я снесла к чёрту всю папку загрузки со всеми файлами, так что теперь даже не проверить, на что конкретно была реакция.
Сейчас в журнале защиты верхней надписью остаётся "Исправление не завершено", что немного напрягает. При этом все последующие проверки угрозу уже не находят. 
Проверяла компьютер KVRT, CureIt, ESET, MSERT - у всех чистые результаты. (Только Др Вэб в очередной раз отметил один рекламный файл с Adware.Sweetlabs5, и в очередной раз его снесла). 

Подскажите, пожалуйста, у Дефендера ложное срабатывание? Или какой-то из вирусов всё же был? Имеет ли смысл убирать записи из Зищитника или, если угрозы нет, можно не волноваться и оставить, как есть? 

Логи собирала с выключенным инетом (это ничего?). Заранее спасибо за помощь!

  

4.png

3.png

2.png

1.png

CollectionLog-2023.03.22-16.40.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

В логах тоже не видно ничего криминального.

 

32 минуты назад, Asya сказал:

остаётся "Исправление не завершено", что немного напрягает

Как мне видится: Защитник не успел как следует отработать угрозу, а вы вручную удалили файл. Вот и осталась надпись. Причём, это только запись в журнале.

Если сможете самостоятельно очистить журнал, хорошо. Если не сможете, сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Asya

Asya

Опубликовано
  • Автор
Опубликовано

Здравствуйте, спасибо за ответ!

 

Цитата

Защитник не успел как следует отработать угрозу, а вы вручную удалили файл


Я удаляла папку уже после того, как Защитник зациклился, поэтому не могу быть уверена, что тут первичней. Удалить записи оттуда тоже не знаю, как. У меня в нём до сих пор числится заблокированный год назад торрент.

Для личного спокойствия я бы уже откатила систему до заводских, но не уверена, что нынешним вирусам это какая-то помеха. Всё ещё надеюсь, что это было ложное срабатывание.

Спасибо за помощь.

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо, попробуем очистить скриптом. Выполняйте его в безопасном режиме.

 

  • Выделите следующий код: 
  • Start::
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Asya

Asya

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Выполнила скрипт, записи в Защитнике очистились. Спасибо! Новые проверки ещё не проводила. Можно ли считать, что мой компьютер теперь чист или нужно его ещё как-то проверить, чтоб убедиться, что следов вирусов не осталось?

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Да, он и был чист, только записи в журнале Защитника.

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Asya

Asya

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте ещё раз!

 

Спасибо вам огромное за помощь! Уже как-то неловко, но тут не понос так золотуха(( Пока с утра не работал сайт для скачки СекьюритиЧека, пришли родственники со старой флэшкой "Проверить фоточки" и при открытии запустили мамонта Worm:win32/autorun!inf. Дефендер ругнулся, с угрозой ничего не сделал, флэшку вытащили. Активная запись в журнале опять зациклилась. 
Психанула и удалила файлы из папки Windows Defender\Scans\History\Service. Возможно, зря...  Сейчас журнал по записям пуст, новые сканирования угроз не выявляют.
Но я уже прям не знаю, опять логи собирать? Только удалила все утилиты, эх

Ну и файл чека, делался с отключенным Дефендером.

Простите, что так напрягаю. Спасибо, что тратите время на помощь.

5.png

SecurityCheck.txt

Изменено пользователем Asya
Sandor

Sandor

Опубликовано
Опубликовано

А диск D - это флешка?

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
calibre 64bit v.5.29.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 13.7.5 v.13.7.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.23.1.5.708 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

И если уж вас не устраивает работа Защитника, установите правильный антивирус (хоть бесплатную версию).

Asya

Asya

Опубликовано
  • Автор
Опубликовано

Да, флэшка. Защитник на неё ссылался. После перезапуска компа активная запись попала в формат "исправление не завершено", как и в скринах в первом сообщении. После этого я удалила файлы истории сканирования в папке Service. Теперь в защитнике угроза нигде не фиксируется.

Asya

Asya

Опубликовано
  • Автор
Опубликовано

Спасибо вам огромное за помощь! Да, тут, видимо, без установки нормального антивируса уже никуда.
Я так понимаю, что у меня ещё и точки восстановления отсутствуют, что не есть хорошо

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • clobase
      trojan.packed2.45303 vulkaninfo
      Автор clobase
      Др веб нашел троян в файлах vulkaninfo, но при попытки лечения выдает ошибку.
    • Otola
      Vulkan
      Автор Otola
      Аналогично сегодня ругается на вулкан. И не лечит его, и не перемещает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Secret21
      Vulkaninfo.exe
      Автор Secret21
      Здравствуйте. Решил сделать плановую проверку пк через утилику dr web curelt и вот что он мне нашел, прочитав о подобном в интернете я нашел информацию что это могут быть ложные срабатывания.
      Использовал последнюю версию на момент 7 февраля.
      P.S после обновления драйвера nvidia этих "троянов" стало 8 вместо прошлых 6.

       
      CollectionLog-2026.02.07-04.56.zip
×
×
  • Создать...