[РЕШЕНО] Антивирус при сканировании пропускает зараженный файл. Trojan:Win32/Znyonm

[Макс23]

Встроенный антивирус в Windows 10 обнаружил вирус в файле steam_api64.dll после чего я этот файл отправленный в карантин восстановил, даже не спрашивайте зачем, обычно я так не делаю.

После этого при повторным сканировании папки с вирусом антивирус стал выдавать "Пункт пропущен во время сканирования" *Прицепил скриншот. Я проверил Kaspersky Virus Removal Tool папку с вредоносным файлом, тоже ничего не видит. Но возможно и он пропускает при сканировании этот файл. В исключение антивируса или ещё куда я ничего не добавлял.

Как исправить это? И что этот вредоносный файл сделал в системе, на сколько я понял это вирус именуется как Trojan:Win32/Znyonm

Если вирус что то поменял в системе как это исправить, вылечить.

p.s Я прицепил архив с вирусным файлом. UPD забыл прицепить файлик AutoLogger, добавил архив с CollectionLog

 

CollectionLog-2023.12.04-10.11.zip

Изменено 4 декабря, 2023 пользователем safety

[safety]

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

8 часов назад, Макс23 сказал:

Я проверил Kaspersky Virus Removal Tool папку с вредоносным файлом, тоже ничего не видит

Файл отправьте на анализ здесь:

https://opentip.kaspersky.com/

[Макс23]

1 hour ago, safety said:

7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Сделал 

DESKTOP-3P81C82_2023-12-04_12-44-38_v4.14.1.7z

1 hour ago, safety said:

Файл отправьте на анализ здесь:

https://opentip.kaspersky.com/

Файл с вирусом? Отправил, вот ссылка, не знаю доступна ли она для всех https://opentip.kaspersky.com/9D8165A2B06A26B566A6002F020030DBA993D4BC36238001F40EAEB1810C711C/results?tab=upload

[safety]

1 hour ago, Макс23 said:

Файл с вирусом? Отправил, вот ссылка

тот факт, что некоторые антивирусы детектируют файл как HackTool.Crack не означает, что файл может содержать какой-то другой вредоносный функционал, кроме обхода проверки лицензии.

 

образ сейчас проверю.

Ничего подозрительного судя по образу нет.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start.exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\SYNC7\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {EBA7A1E6-E69D-4BA5-B291-95782A004604}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SYNC7\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\23.101.0514.0001\I386\FILESYNCSHELL.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\119.1.60.125\ELEVATION_SERVICE.EXE
delref F:\GAMES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BATTLELOG WEB PLUGINS\2.3.0\ESNLAUNCHAX.OCX
;-------------------------------------------------------------

regt 40
restart

Далее,

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

Изменено 4 декабря, 2023 пользователем safety

[Макс23]

24 minutes ago, safety said:

Прикрепите этот файл в своем следующем сообщении.

Готово 

SecurityCheck.txt

[safety]

Обратите внимание и обновите программы до актуальных версий.

 

Notepad++ (32-bit x86) v.8.1.9 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.101.0514.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.5.10.2417 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.16 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 10 v.10.6.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Glary Utilities 5.210 v.5.210.0.239 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

[Макс23]

9 minutes ago, safety said:

Обратите внимание и обновите программы до актуальных версий.

Я понял ща обновлю, посмотрю.

А моя проблема решена? Напомню, антивирус при сканировании пропускал зараженный, подозрительный файл и игнорировал его. Сейчас заметил что ни этого файла, ни папки с этим файлом нету и корзина очищена

[safety]

1 hour ago, Макс23 said:

Напомню, антивирус при сканировании пропускал зараженный, подозрительный файл и игнорировал его.

О каком антивирусе идет речь? WinDefender? тогда добавьте логи FRST.

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

[Макс23]

2 hours ago, safety said:

О каком антивирусе идет речь? WinDefender? тогда добавьте логи FRST.

Да, о встроенным в windows 10. А корзину это ты скриптом очистил? Просто не могу понять почему корзина очищена 

Addition.txt FRST.txt

[safety]

8 hours ago, Макс23 said:

А корзину это ты скриптом очистил?

Если в темпах была, то да, скриптом.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
CloseProcesses:
SystemRestore: On
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{B98CC0BC-5095-4098-A064-BDD684197BDD}] => (Allow) C:\Users\sync7\Downloads\4ddig-for-windows.exe => Нет файла
FirewallRules: [{BAFF57F6-CAE8-4E8E-800A-E1988D338CBF}] => (Allow) C:\Users\sync7\Downloads\4ddig-for-windows.exe => Нет файла
FirewallRules: [{A37FC503-68F9-4657-A89A-82F2486DCA29}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Нет файла
FirewallRules: [{484252FD-67B4-4C75-A4F3-89F1118A50C9}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Tenorshare 4DDiG.exe => Нет файла
FirewallRules: [{BB29BB4D-2DD0-4809-911D-21DD422F2FF2}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Нет файла
FirewallRules: [{87C10C7B-674B-4708-BE04-C5C8B76DAA8C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NetFrameCheck.exe => Нет файла
FirewallRules: [{94C6D48B-3B2A-41B6-A175-93943AF5B836}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла
FirewallRules: [{C776D8ED-D254-4B12-B592-D8EF145BBD4C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\Monitor\Monitor.exe => Нет файла
FirewallRules: [{A260BF47-4633-4EED-9F66-795928EF83B2}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Нет файла
FirewallRules: [{CA3E2D5E-ED8B-42FA-8BCF-971B3E74D05C}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\ParseRecord.exe => Нет файла
FirewallRules: [{5AE34356-0320-4B7F-8992-B85FFE7B8FB3}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Нет файла
FirewallRules: [{C00DE700-3A57-4037-B4C1-D3200D2DE7C8}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\UpdateService.exe => Нет файла
FirewallRules: [{20CE49F5-4AE9-44E5-B752-6FC1A7F6A27E}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Нет файла
FirewallRules: [{8681FA39-93EE-46A3-9347-06A0DDC2E35A}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\preuninstall.exe => Нет файла
FirewallRules: [{09F13DCB-B2B4-4C94-AC86-0FAE1FF5515F}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Нет файла
FirewallRules: [{07EF3041-3C3F-471B-90AF-29E62BA68CD4}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DeviceViewerService.exe => Нет файла
FirewallRules: [{2149A70D-92CF-4BAC-8CD4-F8D42B2DB7E0}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла
FirewallRules: [{6653DB36-9287-42C8-BCF0-4732D9D1C0E6}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\NASConnecter.exe => Нет файла
FirewallRules: [{99DB2ED2-D228-46DC-8C2C-8548ABB578C5}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Нет файла
FirewallRules: [{C7F5DDD5-A67D-4281-82A0-8749FF3C9F83}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataScanService.exe => Нет файла
FirewallRules: [{786ABC02-FF03-4E4B-800B-D459984FF59E}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Нет файла
FirewallRules: [{B70E7A3A-7C1F-4B7F-A49B-8DD23D1020FF}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\DataRecoveryService.exe => Нет файла
FirewallRules: [{0E46A3AB-4EE6-4CEC-B83A-8209C148B034}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Нет файла
FirewallRules: [{F8781144-85FA-482D-87A4-A4D5FF898F44}] => (Allow) F:\Programs\Tenorshare\Tenorshare 4DDiG\MsgSupport\MsgSupportService.exe => Нет файла
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

[Макс23]

13 часов назад, safety сказал:

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

Я правильно же понял что после того как запустил FRST, надо просто скопировать скрипт из браузера и нажать исправить.

Вставлять этот скрипт никуда не надо? Просто держать его в буфере обмена? Ну я сделал.

Fixlog.txt

 

13 часов назад, safety сказал:

Напишите об оставшихся проблемах.

Вроде проблемы больше нет. Хотел ещё узнать, почему встроенный антивирус выдавал ошибку при сканировании файла "Был пропущен элемент из за исключения или параметров сетевого сканирования" и где глянуть эти параметры сетевого сканирования?

И ещё после последнего скрипта меня везде, на сайтах разлогинило, так и должно было быть?

[safety]

Возможно так настроен был MSDefender, здесь ничего не могу добавить. Да, кэши браузеров были очищены скриптами, поэтому необходимо заново вводить пароли для входа на сайты. Не рекомендуем из сохранять, так как пароли могут быть извлечены  с помощью различных троянов SpyWare,

[Макс23]

5 hours ago, Макс23 said:

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST.

А по поводу Fixlog? Ты просил добавить файл 

Fixlog.txt

[safety]

Спасибо. Все успешно очищено в FRST

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".