Перейти к содержанию
Правила раздела
Встреча клуба на Новогодней ярмарке

[РЕШЕНО] Trojan:Win32/Phonzy.A!ml

Semz

Автор Semz,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Semz

Semz 0

Опубликовано
Опубликовано

Здравствуйте, скачивал недавно autodesk inventor . Попытавшись установить его, у меня заругался windows defender. Когда нажимаю "Применить действия - Удалить" ничего не происходит и вирус никак не может удалиться. У меня Windows 11. В диспетчере задач нету никаких неизвестных процессов. Так же когда пытаюсь извлечь образ диска, не получается. Вентиляторы вроде не крутятся, но тут хз, так как я комп не перезапускал. Доктор веб ничего не обнаружил . Причём дефендер мне предлагает перезагрузить комп, но после нажатия перезагрузить(в окне дефендера, этого не происходит)image.png.3793c8c283ff1ca3245ebd585b02bbc2.pngimage.png.d56f33675f52242db9630da8d71514cf.png

Причём переодически мне дефендер уведомления присылает image.png.a6f82aad6b2f9a701790759520f51cfa.png

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 085

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

  

O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')

 

Сделайте новые логи по правилам

Ссылка на сообщение
Поделиться на другие сайты
Semz

Semz 0

Опубликовано
  • Автор
Опубликовано

Пофиксил, теперь норм?

CollectionLog-2023.10.25-22.53.zip

 

Проверил сейчас , возможно не связано с вирусом, но у меня ещё командная строка не открывается ( при этом все сайты антивирусов и прочее нормально открываются)

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 085

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
Semz

Semz 0

Опубликовано
  • Автор
Опубликовано

Вчера самостоятельно просканировал этой программой ( на всякий ) и выключил компьютер. Сегодня повторно просканировал. В виртуальном дисководе Iso файла естественно нет. Архивы со сканами за вчера и сегодня прилагаю.

Сегодня.rar Вчера.rar

Addition.txt случайно в архив за сегодня попался файл shortcut за вчера. Вот ещё и addition за сегодня

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 085

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1C61FFA8-ACB8-465C-9315-67067616E9AA} - System32\Tasks\NIUpdateServiceStartupTask => D:\multisim\Shared\Update Service\NIUpdateService.exe  -startupTask (Нет файла)
AlternateDataStreams: C:\Windows\system32\Drivers\cjacfjsm.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\hkyehvlw.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\hqxfqohw.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\mfjehghy.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\mqrnjzzs.sys:changelist [722]
AlternateDataStreams: C:\Windows\system32\Drivers\mxgmwqgs.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\obawjcjl.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\okbmqmeo.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\rtxjxkot.sys:changelist [360]
AlternateDataStreams: C:\Users\Samuraii\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Samuraii\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
Semz

Semz 0

Опубликовано
  • Автор
Опубликовано

Какие либо пароли и пр могли украсть? Или это просто майнер был? В целом с пк всё норм, дефендер не ругается и пр. Спасибо за помощь

 

 

А, ну и кроме этого теперь брандермауэр при перезапуске требует (мб только у некоторых) повторно выдать разрешение на работу в частных сетях и пр, хотя раньше только один раз за установку приложения это было. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 085

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • bittok23
      MEM:Trojan.Win32.SEPEH.gen словил этот троян
      От bittok23
      Пытался удалить разными способами, ничего не получается
       
      CollectionLog-2023.11.25-21.40.zip
    • mtt
      MEM:Trojan.Win32.SEPEH.gen
      От mtt
      kvrt обнаружил троян MEM:Trojan.Win32.SEPEH.gen. При попытке лечения чёрный экран.
       
      CollectionLog-2023.11.16-19.07.zip
    • Илья771
      [РЕШЕНО] Trojan.Multi.GenAutorunReg.a как удалить?
      От Илья771
      В мониторинге активности  в Kaspersky Internet Security появляются следующие сообщения
       
      Событие: Обнаружен вредоносный объект
      Пользователь: LAPTOP-6E6IL8NS\ivano
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: Trojan.Multi.GenAutorunReg.a
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Экспертный анализ
      Дата выпуска баз: Сегодня, 09.11.2023 4:59:00
       
      После лечения и перезагрузки при выполнении полной проверки написано, что угроз не обнаружено, но через некоторое время троян снова появляется
       
      Ссылка на лог (не нашел как прикрепить файлом) https://drive.google.com/file/d/1VA9HPyE1nDvZylA_nbNCMldgjeijKm1c/view?usp=sharing
    • Moonbeam
      [РЕШЕНО] Опять прилетел Trojan.Multi.GenAutorunProc.a((
      От Moonbeam
      Опять здравствуйте! Сегодня KIS опять обнаружил троян. Помогите пожалуйста.
      CollectionLog-2023.11.05-15.30.zip
    • Степанов Владимир
      Защитник Виндовс 10 обнаружил вирус
      От Степанов Владимир
      Добрый вечер.
      У меня на домашнем компе Защитник Виндовс 10 обнаружил вирус в файле, находящемся в папке: AV_block_remover\taskhostw.exe: Behavior:Win32/Persistence.A!ml
      process: pid:17160,ProcessStart:133434935668816440
      Это происходит примерно за полгода второй или третий раз.
      То есть у меня на компе сидит скрытый Майнер, который никакой антивирусник удалить не может или я что то неправильно понимаю??
      В этой теме была похожая ситуация, такой же вирус: https://forum.kasperskyclub.ru/topic/419725-majner-behaviorwin32persistenceaml-sedaet-kompjuter-i-ne-udaljaetsja/
       
      Сообщение от модератора thyrex Перенесено из темы  
×
×
  • Создать...