Trojan:win32/phonzy.a!ml

[modger]

Добрый вечер, напоролся на классный троян который не могу снести, антивирусы его при полном сканировании не обнаруживают, в безопасном режиме тоже мучался, этот троян не хочет уходить с моего ноутбука ни как. Он скачивался на рабочий стол в папку которой уже нет с момента как понял, что скачал вирусняк все же. В защите от вирусов и угроз по началу отображалось 2 угроза, затем одна, а теперь снова две по ходу всех махинаций, на данный момент мне показывает, что троян находится в несуществующей папке на рабочем столе. Пробовал по ходу всего этого скачать троян ремувер, скачать удалось, а открыть не дает в никакую.
Мне очень нужна помощь, сносить систему вообще не вариант. 
Обращаюсь впервые жизни на форум после того как видел это решение проблемы

На данный момент я на этапе сканирования в программе FRST с теми же галочками как и было указано в том решении проблемы по ссылке.
Прикрепил отчеты.
Далее я не делал так как помощник на том вопросе указал, что не нужно повторять, ибо это может крашнуть винду, так как то что он делал относилось конкретно к тому человеку у которого была эта проблема.

Addition.txt FRST.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[modger]

16 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

 

16 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

тип мне по новой что ли составить запрос...?

 

 

Изменено 1 февраля, 2024 пользователем modger

[Mark D. Pearlstone]

14 минут назад, modger сказал:

тип мне по новой что ли составить запрос...?

Прочтите правила создания запроса и выполните их. Новую тему создавать не нужно.

[modger]

Вот это же?

AdwCleaner[S00].txt

[Mark D. Pearlstone]

Вам во втором сообщении темы дали ссылку. Прочтите внимательно инструкцию по ней и выполните, там конкретно написано, что нужно сделать и как., а не в гадалку играйте.

[modger]

я надеюсь это то...

CollectionLog-2024.02.01-21.42.zip

[safety]

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[modger]

Spoiler

 

 

MSI_2024-02-02_14-43-57_v4.15.1.7z

Изменено 2 февраля, 2024 пользователем safety

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

[modger]

1 час назад, safety сказал:

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

Я не очень понял куда добавить папку (Дата_времяlog.txt) по описанию после перезагрузки. 
 
 

2024-02-02_16-22-42_log.txt

просто я довольно глупый пк юзер по всей видимости 

 

[safety]

Цитировать сообщения консультанта не нужно, просто пишите свое сообщение в окне редактора. Судя по текущим угрозам - угрозы не актуальные.

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Изменено 2 февраля, 2024 пользователем safety

[modger]

Я не понял в каком смысле угроза не актуальна, все тот же троян как весел так и висит, но да ладно.
Вот отчет скана 

SecurityCheck.txt

[safety]

На дату записи по угрозе обращайте внимание. В списке указываются угрозы, обнаруженные в течение определенного периода. Если сократить данный период до одного дня, т.е. актуальные на текущий день, то все предыдущие записи уже будут не актуальны.

 

Обновите данное ПО:

Notepad++ (64-bit x64) v.8.5.3 Внимание! Скачать обновления

FileZilla 3.65.0 v.3.65.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления

Discord v.1.0.9010 Внимание! Скачать обновления
Discord Canary v.1.0.151 Внимание! Скачать обновления
Zoom v.5.15.2 (18096) Внимание! Скачать обновления

Loaris Trojan Remover 3.1.60 v.3.1.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

 

 

 

[modger]

Так, ну я обратился с задачей снести троян который у меня находит защита винды. Увидел проблему такого же характера и четко пояснил, что мне нужно так же снести его. Так что мне делать дальше, чтобы снести его с моего пк. Если прочесть выше, я делал все возможное вручную, что мог сам сделать, так вот обращаюсь с помощью,  чтобы мне помогли как и в прикрепленном выше решении проблемы на форму 

 

за период как обратился троян как был, так и остался тем же самым