Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan:Win32/Phonzy.A!ml

Semz

Автор Semz,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Semz

Semz 0

Опубликовано
Опубликовано

Здравствуйте, скачивал недавно autodesk inventor . Попытавшись установить его, у меня заругался windows defender. Когда нажимаю "Применить действия - Удалить" ничего не происходит и вирус никак не может удалиться. У меня Windows 11. В диспетчере задач нету никаких неизвестных процессов. Так же когда пытаюсь извлечь образ диска, не получается. Вентиляторы вроде не крутятся, но тут хз, так как я комп не перезапускал. Доктор веб ничего не обнаружил . Причём дефендер мне предлагает перезагрузить комп, но после нажатия перезагрузить(в окне дефендера, этого не происходит)image.png.3793c8c283ff1ca3245ebd585b02bbc2.pngimage.png.d56f33675f52242db9630da8d71514cf.png

Причём переодически мне дефендер уведомления присылает image.png.a6f82aad6b2f9a701790759520f51cfa.png

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

  

O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (sign: 'Microsoft')
O22 - Tasks: (telemetry) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (sign: 'Microsoft')

 

Сделайте новые логи по правилам

Ссылка на сообщение
Поделиться на другие сайты
Semz

Semz 0

Опубликовано
  • Автор
Опубликовано

Пофиксил, теперь норм?

CollectionLog-2023.10.25-22.53.zip

 

Проверил сейчас , возможно не связано с вирусом, но у меня ещё командная строка не открывается ( при этом все сайты антивирусов и прочее нормально открываются)

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
Semz

Semz 0

Опубликовано
  • Автор
Опубликовано

Вчера самостоятельно просканировал этой программой ( на всякий ) и выключил компьютер. Сегодня повторно просканировал. В виртуальном дисководе Iso файла естественно нет. Архивы со сканами за вчера и сегодня прилагаю.

Сегодня.rar Вчера.rar

Addition.txt случайно в архив за сегодня попался файл shortcut за вчера. Вот ещё и addition за сегодня

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1C61FFA8-ACB8-465C-9315-67067616E9AA} - System32\Tasks\NIUpdateServiceStartupTask => D:\multisim\Shared\Update Service\NIUpdateService.exe  -startupTask (Нет файла)
AlternateDataStreams: C:\Windows\system32\Drivers\cjacfjsm.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\hkyehvlw.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\hqxfqohw.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\mfjehghy.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\mqrnjzzs.sys:changelist [722]
AlternateDataStreams: C:\Windows\system32\Drivers\mxgmwqgs.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\obawjcjl.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\okbmqmeo.sys:changelist [360]
AlternateDataStreams: C:\Windows\system32\Drivers\rtxjxkot.sys:changelist [360]
AlternateDataStreams: C:\Users\Samuraii\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Samuraii\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
Semz

Semz 0

Опубликовано
  • Автор
Опубликовано

Какие либо пароли и пр могли украсть? Или это просто майнер был? В целом с пк всё норм, дефендер не ругается и пр. Спасибо за помощь

 

 

А, ну и кроме этого теперь брандермауэр при перезапуске требует (мб только у некоторых) повторно выдать разрешение на работу в частных сетях и пр, хотя раньше только один раз за установку приложения это было. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 093

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • DanM
      Не удается удалить троян Trojan:MSIL/Wemaeye.A
      От DanM
      Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
      Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.
      logs.zip
    • aronone
      [РЕШЕНО] NET.MALWARE.URL не удаляется, просьба помочь удалить
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
    • hyacins
      [РЕШЕНО] Trojan.Win32.GenAutorunWmiCommandLineEventConsumerRun.a
      От hyacins
      Здравствуйте! При попытке скачать эксель (видимо, первая ссылка в браузере меня оказалась с подвохом) получила троян со страшным длинным названием. Касперский его обнаружил и предложил удалить, на что я согласилась. Но после он начал присылать мне, что обнаружил и запретил приложение WmiPrvSE.exe. Я провела полную проверку, угроз не обнаружено, но во время неё Касперский каждые 5 минут присылал одно и то же уведомление с обнаружением и запрещением того самого приложения и продолжает до сих пор. Скажите, что делать, пожалуйста..
      CollectionLog-2024.04.22-02.39.zip
    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
×
×
  • Создать...