Перейти к содержанию

[РЕШЕНО] Антивирус при сканировании пропускает зараженный файл. Trojan:Win32/Znyonm


Рекомендуемые сообщения

Опубликовано (изменено)

Встроенный антивирус в Windows 10 обнаружил вирус в файле steam_api64.dll после чего я этот файл отправленный в карантин восстановил, даже не спрашивайте зачем, обычно я так не делаю.

После этого при повторным сканировании папки с вирусом антивирус стал выдавать "Пункт пропущен во время сканирования" *Прицепил скриншот. Я проверил Kaspersky Virus Removal Tool папку с вредоносным файлом, тоже ничего не видит. Но возможно и он пропускает при сканировании этот файл. В исключение антивируса или ещё куда я ничего не добавлял.

Как исправить это? И что этот вредоносный файл сделал в системе, на сколько я понял это вирус именуется как Trojan:Win32/Znyonm

Если вирус что то поменял в системе как это исправить, вылечить.

p.s Я прицепил архив с вирусным файлом. UPD забыл прицепить файлик AutoLogger, добавил архив с CollectionLog

2.png

 

CollectionLog-2023.12.04-10.11.zip

Изменено пользователем safety
  • Макс23 изменил название на Антивирус при сканировании пропускает зараженный файл. Trojan:Win32/Znyonm
Опубликовано

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

8 часов назад, Макс23 сказал:

Я проверил Kaspersky Virus Removal Tool папку с вредоносным файлом, тоже ничего не видит

Файл отправьте на анализ здесь:

https://opentip.kaspersky.com/

Опубликовано
1 hour ago, safety said:

7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Сделал 

DESKTOP-3P81C82_2023-12-04_12-44-38_v4.14.1.7z

1 hour ago, safety said:

Файл отправьте на анализ здесь:

https://opentip.kaspersky.com/

Файл с вирусом? Отправил, вот ссылка, не знаю доступна ли она для всех https://opentip.kaspersky.com/9D8165A2B06A26B566A6002F020030DBA993D4BC36238001F40EAEB1810C711C/results?tab=upload

Опубликовано (изменено)
1 hour ago, Макс23 said:

Файл с вирусом? Отправил, вот ссылка

тот факт, что некоторые антивирусы детектируют файл как HackTool.Crack не означает, что файл может содержать какой-то другой вредоносный функционал, кроме обхода проверки лицензии.

 

образ сейчас проверю.

Ничего подозрительного судя по образу нет.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start.exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\SYNC7\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {EBA7A1E6-E69D-4BA5-B291-95782A004604}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SYNC7\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\23.101.0514.0001\I386\FILESYNCSHELL.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\119.1.60.125\ELEVATION_SERVICE.EXE
delref F:\GAMES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BATTLELOG WEB PLUGINS\2.3.0\ESNLAUNCHAX.OCX
;-------------------------------------------------------------

regt 40
restart

Далее,

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
Изменено пользователем safety
Опубликовано

Обратите внимание и обновите программы до актуальных версий.

 

Notepad++ (32-bit x86) v.8.1.9 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.101.0514.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.5.10.2417 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.16 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 10 v.10.6.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Glary Utilities 5.210 v.5.210.0.239 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Опубликовано
9 minutes ago, safety said:

Обратите внимание и обновите программы до актуальных версий.

Я понял ща обновлю, посмотрю.

А моя проблема решена? Напомню, антивирус при сканировании пропускал зараженный, подозрительный файл и игнорировал его. Сейчас заметил что ни этого файла, ни папки с этим файлом нету и корзина очищена

Опубликовано
1 hour ago, Макс23 said:

Напомню, антивирус при сканировании пропускал зараженный, подозрительный файл и игнорировал его.

О каком антивирусе идет речь? WinDefender? тогда добавьте логи FRST.

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Опубликовано
2 hours ago, safety said:

О каком антивирусе идет речь? WinDefender? тогда добавьте логи FRST.

Да, о встроенным в windows 10. А корзину это ты скриптом очистил? Просто не могу понять почему корзина очищена 

Addition.txt FRST.txt

Опубликовано
8 hours ago, Макс23 said:

А корзину это ты скриптом очистил?

Если в темпах была, то да, скриптом.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{B98CC0BC-5095-4098-A064-BDD684197BDD}] => (Allow) C:\Users\sync7\Downloads\4ddig-for-windows.exe => Нет файла
FirewallRules: [{BAFF57F6-CAE8-4E8E-800A-E1988D338CBF}] => (Allow) C:\Users\sync7\Downloads\4ddig-for-windows.exe => Нет файла
FirewallRules: [{A37FC503-68F9-4657-A89A-82F2486DCA29}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Нет файла
FirewallRules: [{484252FD-67B4-4C75-A4F3-89F1118A50C9}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Нет файла
FirewallRules: [{BB29BB4D-2DD0-4809-911D-21DD422F2FF2}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Нет файла
FirewallRules: [{87C10C7B-674B-4708-BE04-C5C8B76DAA8C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Нет файла
FirewallRules: [{94C6D48B-3B2A-41B6-A175-93943AF5B836}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла
FirewallRules: [{C776D8ED-D254-4B12-B592-D8EF145BBD4C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла
FirewallRules: [{A260BF47-4633-4EED-9F66-795928EF83B2}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Нет файла
FirewallRules: [{CA3E2D5E-ED8B-42FA-8BCF-971B3E74D05C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Нет файла
FirewallRules: [{5AE34356-0320-4B7F-8992-B85FFE7B8FB3}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Нет файла
FirewallRules: [{C00DE700-3A57-4037-B4C1-D3200D2DE7C8}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Нет файла
FirewallRules: [{20CE49F5-4AE9-44E5-B752-6FC1A7F6A27E}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Нет файла
FirewallRules: [{8681FA39-93EE-46A3-9347-06A0DDC2E35A}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Нет файла
FirewallRules: [{09F13DCB-B2B4-4C94-AC86-0FAE1FF5515F}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Нет файла
FirewallRules: [{07EF3041-3C3F-471B-90AF-29E62BA68CD4}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Нет файла
FirewallRules: [{2149A70D-92CF-4BAC-8CD4-F8D42B2DB7E0}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла
FirewallRules: [{6653DB36-9287-42C8-BCF0-4732D9D1C0E6}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла
FirewallRules: [{99DB2ED2-D228-46DC-8C2C-8548ABB578C5}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Нет файла
FirewallRules: [{C7F5DDD5-A67D-4281-82A0-8749FF3C9F83}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Нет файла
FirewallRules: [{786ABC02-FF03-4E4B-800B-D459984FF59E}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Нет файла
FirewallRules: [{B70E7A3A-7C1F-4B7F-A49B-8DD23D1020FF}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Нет файла
FirewallRules: [{0E46A3AB-4EE6-4CEC-B83A-8209C148B034}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Нет файла
FirewallRules: [{F8781144-85FA-482D-87A4-A4D5FF898F44}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

  • Спасибо (+1) 1
Опубликовано
13 часов назад, safety сказал:

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

Я правильно же понял что после того как запустил FRST, надо просто скопировать скрипт из браузера и нажать исправить.

Вставлять этот скрипт никуда не надо? Просто держать его в буфере обмена? Ну я сделал.

Fixlog.txt

 

13 часов назад, safety сказал:

Напишите об оставшихся проблемах.

Вроде проблемы больше нет. Хотел ещё узнать, почему встроенный антивирус выдавал ошибку при сканировании файла "Был пропущен элемент из за исключения или параметров сетевого сканирования" и где глянуть эти параметры сетевого сканирования?

И ещё после последнего скрипта меня везде, на сайтах разлогинило, так и должно было быть?

Опубликовано

Возможно так настроен был MSDefender, здесь ничего не могу добавить. Да, кэши браузеров были очищены скриптами, поэтому необходимо заново вводить пароли для входа на сайты. Не рекомендуем из сохранять, так как пароли могут быть извлечены  с помощью различных троянов SpyWare,

Опубликовано
5 hours ago, Макс23 said:

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

А по поводу Fixlog? Ты просил добавить файл 

Fixlog.txt

Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • AlexTi22
      Автор AlexTi22
      При проверке Dr. Web CureIt! было замечено 2 угрозы Trojan.Siggen31.46344 в одной из папок Temp в файле app.dll. Удаление при помощи CureIt не помогла, при перезагрузке проблема возвращается. Папки с этими файлами невозможно удалить вручную. 

    • LaVVINa
      Автор LaVVINa
      Добрый день! 
      Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
      Через безопасный режим виндовс не убирается, возвращается.
      Помогите, пожалуйста, убрать его 🙏
      CollectionLog-2025.09.19-21.18.zip
    • dangertim
      Автор dangertim
      Решил проверить компьютер с помощью DR.WEB он нашел 2 угрозы, может кто нибудь посоветовать как  исправить это

      CollectionLog-2025.09.15-16.25.zip
    • booblick
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • r4pdj
      Автор r4pdj
      Здравствуйте.
      Неделю назад поставили Kaspersky Plus по подписке на второй компьютер (до этого несколько месяцев компьютер был без защиты). Обнаружилось 2 вируса. Один внедрён в svhost, другой - отдельное приложение майнер. Пробовали лечить, удалять и всё безрезультатно.

×
×
  • Создать...