Перейти к содержанию

[РЕШЕНО] Антивирус при сканировании пропускает зараженный файл. Trojan:Win32/Znyonm


Макс23

Рекомендуемые сообщения

Встроенный антивирус в Windows 10 обнаружил вирус в файле steam_api64.dll после чего я этот файл отправленный в карантин восстановил, даже не спрашивайте зачем, обычно я так не делаю.

После этого при повторным сканировании папки с вирусом антивирус стал выдавать "Пункт пропущен во время сканирования" *Прицепил скриншот. Я проверил Kaspersky Virus Removal Tool папку с вредоносным файлом, тоже ничего не видит. Но возможно и он пропускает при сканировании этот файл. В исключение антивируса или ещё куда я ничего не добавлял.

Как исправить это? И что этот вредоносный файл сделал в системе, на сколько я понял это вирус именуется как Trojan:Win32/Znyonm

Если вирус что то поменял в системе как это исправить, вылечить.

p.s Я прицепил архив с вирусным файлом. UPD забыл прицепить файлик AutoLogger, добавил архив с CollectionLog

2.png

 

CollectionLog-2023.12.04-10.11.zip

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • Макс23 changed the title to Антивирус при сканировании пропускает зараженный файл. Trojan:Win32/Znyonm

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

8 часов назад, Макс23 сказал:

Я проверил Kaspersky Virus Removal Tool папку с вредоносным файлом, тоже ничего не видит

Файл отправьте на анализ здесь:

https://opentip.kaspersky.com/

Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, safety said:

7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Сделал 

DESKTOP-3P81C82_2023-12-04_12-44-38_v4.14.1.7z

1 hour ago, safety said:

Файл отправьте на анализ здесь:

https://opentip.kaspersky.com/

Файл с вирусом? Отправил, вот ссылка, не знаю доступна ли она для всех https://opentip.kaspersky.com/9D8165A2B06A26B566A6002F020030DBA993D4BC36238001F40EAEB1810C711C/results?tab=upload

Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, Макс23 said:

Файл с вирусом? Отправил, вот ссылка

тот факт, что некоторые антивирусы детектируют файл как HackTool.Crack не означает, что файл может содержать какой-то другой вредоносный функционал, кроме обхода проверки лицензии.

 

образ сейчас проверю.

Ничего подозрительного судя по образу нет.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start.exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\SYNC7\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {EBA7A1E6-E69D-4BA5-B291-95782A004604}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SYNC7\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\23.101.0514.0001\I386\FILESYNCSHELL.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\119.1.60.125\ELEVATION_SERVICE.EXE
delref F:\GAMES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BATTLELOG WEB PLUGINS\2.3.0\ESNLAUNCHAX.OCX
;-------------------------------------------------------------

regt 40
restart

Далее,

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Обратите внимание и обновите программы до актуальных версий.

 

Notepad++ (32-bit x86) v.8.1.9 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.101.0514.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.5.10.2417 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.16 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 10 v.10.6.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Glary Utilities 5.210 v.5.210.0.239 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Ссылка на комментарий
Поделиться на другие сайты

9 minutes ago, safety said:

Обратите внимание и обновите программы до актуальных версий.

Я понял ща обновлю, посмотрю.

А моя проблема решена? Напомню, антивирус при сканировании пропускал зараженный, подозрительный файл и игнорировал его. Сейчас заметил что ни этого файла, ни папки с этим файлом нету и корзина очищена

Ссылка на комментарий
Поделиться на другие сайты

1 hour ago, Макс23 said:

Напомню, антивирус при сканировании пропускал зараженный, подозрительный файл и игнорировал его.

О каком антивирусе идет речь? WinDefender? тогда добавьте логи FRST.

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Ссылка на комментарий
Поделиться на другие сайты

2 hours ago, safety said:

О каком антивирусе идет речь? WinDefender? тогда добавьте логи FRST.

Да, о встроенным в windows 10. А корзину это ты скриптом очистил? Просто не могу понять почему корзина очищена 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

8 hours ago, Макс23 said:

А корзину это ты скриптом очистил?

Если в темпах была, то да, скриптом.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{B98CC0BC-5095-4098-A064-BDD684197BDD}] => (Allow) C:\Users\sync7\Downloads\4ddig-for-windows.exe => Нет файла
FirewallRules: [{BAFF57F6-CAE8-4E8E-800A-E1988D338CBF}] => (Allow) C:\Users\sync7\Downloads\4ddig-for-windows.exe => Нет файла
FirewallRules: [{A37FC503-68F9-4657-A89A-82F2486DCA29}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Нет файла
FirewallRules: [{484252FD-67B4-4C75-A4F3-89F1118A50C9}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Нет файла
FirewallRules: [{BB29BB4D-2DD0-4809-911D-21DD422F2FF2}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Нет файла
FirewallRules: [{87C10C7B-674B-4708-BE04-C5C8B76DAA8C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Нет файла
FirewallRules: [{94C6D48B-3B2A-41B6-A175-93943AF5B836}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла
FirewallRules: [{C776D8ED-D254-4B12-B592-D8EF145BBD4C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла
FirewallRules: [{A260BF47-4633-4EED-9F66-795928EF83B2}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Нет файла
FirewallRules: [{CA3E2D5E-ED8B-42FA-8BCF-971B3E74D05C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Нет файла
FirewallRules: [{5AE34356-0320-4B7F-8992-B85FFE7B8FB3}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Нет файла
FirewallRules: [{C00DE700-3A57-4037-B4C1-D3200D2DE7C8}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Нет файла
FirewallRules: [{20CE49F5-4AE9-44E5-B752-6FC1A7F6A27E}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Нет файла
FirewallRules: [{8681FA39-93EE-46A3-9347-06A0DDC2E35A}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Нет файла
FirewallRules: [{09F13DCB-B2B4-4C94-AC86-0FAE1FF5515F}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Нет файла
FirewallRules: [{07EF3041-3C3F-471B-90AF-29E62BA68CD4}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Нет файла
FirewallRules: [{2149A70D-92CF-4BAC-8CD4-F8D42B2DB7E0}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла
FirewallRules: [{6653DB36-9287-42C8-BCF0-4732D9D1C0E6}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла
FirewallRules: [{99DB2ED2-D228-46DC-8C2C-8548ABB578C5}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Нет файла
FirewallRules: [{C7F5DDD5-A67D-4281-82A0-8749FF3C9F83}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Нет файла
FirewallRules: [{786ABC02-FF03-4E4B-800B-D459984FF59E}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Нет файла
FirewallRules: [{B70E7A3A-7C1F-4B7F-A49B-8DD23D1020FF}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Нет файла
FirewallRules: [{0E46A3AB-4EE6-4CEC-B83A-8209C148B034}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Нет файла
FirewallRules: [{F8781144-85FA-482D-87A4-A4D5FF898F44}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

13 часов назад, safety сказал:

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

Я правильно же понял что после того как запустил FRST, надо просто скопировать скрипт из браузера и нажать исправить.

Вставлять этот скрипт никуда не надо? Просто держать его в буфере обмена? Ну я сделал.

Fixlog.txt

 

13 часов назад, safety сказал:

Напишите об оставшихся проблемах.

Вроде проблемы больше нет. Хотел ещё узнать, почему встроенный антивирус выдавал ошибку при сканировании файла "Был пропущен элемент из за исключения или параметров сетевого сканирования" и где глянуть эти параметры сетевого сканирования?

И ещё после последнего скрипта меня везде, на сайтах разлогинило, так и должно было быть?

Ссылка на комментарий
Поделиться на другие сайты

Возможно так настроен был MSDefender, здесь ничего не могу добавить. Да, кэши браузеров были очищены скриптами, поэтому необходимо заново вводить пароли для входа на сайты. Не рекомендуем из сохранять, так как пароли могут быть извлечены  с помощью различных троянов SpyWare,

Ссылка на комментарий
Поделиться на другие сайты

5 hours ago, Макс23 said:

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

А по поводу Fixlog? Ты просил добавить файл 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Depos1t
      От Depos1t
      Добрый день, пользователи сайта и простые обыватели сети интернет. Хотел решить проблему с подключением Discord и друг скинул прогу которая должна была решить вопрос, но при ее запуске на компе появился троян. Сам Касперский не справляется с его удалением, каждый раз предлагает лечить но при новом запуске опять та же проблема. Прошу, помогите доверчивому пользователю сети интернет избавиться от этой "бяки" без потери файлов и переустановки ОС, заранее благодарен за помощь. Ниже прикрепил скрин того, что касперский обнаружил вирус

    • ptenchik42
      От ptenchik42
      При проверке Касперским находит вирус, удаляет и просит перезагрузить пк, после перезагрузки снова появляется это сообщение, торрент удалил уже, из-за чего может быть и как исправить?
      CollectionLog-2024.11.10-23.01.zip
    • tau34
      От tau34
      Здравствуйте зашел на один сайт посмотреть pdf документ и Касперский выдад уведомление , мне сейчас надо как то удалять его или что? пишет вот такой троян:  HEUR:Trojan.PDF.Badur.gena
      я просто в браузере pdf открыл этот там видать ссылка на вредоносный сайт или что раз так Касперский срнагировал
       
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь по персональным продуктам  
       
       
       
       
       
       
       
       

    • wolfson
      От wolfson
      Заметил, что видюха и оперативка начали долбиться в сотку. Решил пофиксить переустановкой винды, но обнаружил, что после выбора флешки из под биос выдает черный экран. По видосикам скачал avbr и майнер сёрч, всё прогнал, вроде грузить ресурсы перестало, но осадок остался, решил всё же переустановить виндовс, но увы после выбора флэшки загрузочной на сек вылетает логотип материнки и черный экран. После заиетил что к папке на диске д нет доступа, хоть и есть права админа. Отформатировал диск д. Попробовал стереть все через обновление/восстановление. Теперь диск ц как будто переустановлен, но из под биос все ещё черный экран. Был в соседнем разделе 
      Отправили сюда. Подскажите пожалуйста почему не могу переустановить виндовс с удалением разделов из под биос?
      П.с. думал может биос устарел. Скачал с офф сайта материнки, всё делаю по инструкции(асер) но пишет, что любая из прошивок биоса файл поврежден.
    • wolfson
      От wolfson
      Доброго дня. Столкнулся с проблемой. На компьютере, вероятно, был майнер который загружал ссд и оперативку. Решил переустановить виндовс 10, но к несчастью, после перезагрузки, всё заканчивается на выборе носителя с установенной ОС Windows с сайта производителя. До этого хотел обновить биос и всё делал по инструкции с сайта материнки, но процесс зависает и пишет, что файл поврежден. После, по видосикам с ютуба, скачал avbr и miner search, всё делал по инструкции. И, вроде как, всё хорошо, но переустановить виндовс всё так же не получается. С биосом такая же проблема. 
      Люди добрые, огромнейшая просьба подсказать как справиться с данной проблемой. Спасибо заранее.
×
×
  • Создать...