Перейти к содержанию
Правила раздела

Trojan:win32/phonzy.a!ml

modger

Автор modger
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

modger

modger

Опубликовано
Опубликовано

Добрый вечер, напоролся на классный троян который не могу снести, антивирусы его при полном сканировании не обнаруживают, в безопасном режиме тоже мучался, этот троян не хочет уходить с моего ноутбука ни как. Он скачивался на рабочий стол в папку которой уже нет с момента как понял, что скачал вирусняк все же. В защите от вирусов и угроз по началу отображалось 2 угроза, затем одна, а теперь снова две по ходу всех махинаций, на данный момент мне показывает, что троян находится в несуществующей папке на рабочем столе. Пробовал по ходу всего этого скачать троян ремувер, скачать удалось, а открыть не дает в никакую.
Мне очень нужна помощь, сносить систему вообще не вариант. 
Обращаюсь впервые жизни на форум после того как видел это решение проблемы

На данный момент я на этапе сканирования в программе FRST с теми же галочками как и было указано в том решении проблемы по ссылке.
Прикрепил отчеты.
Далее я не делал так как помощник на том вопросе указал, что не нужно повторять, ибо это может крашнуть винду, так как то что он делал относилось конкретно к тому человеку у которого была эта проблема.

2.jpg

1.jpg

Addition.txt FRST.txt

modger

modger

Опубликовано
  • Автор
Опубликовано (изменено)
16 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

 

16 минут назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

тип мне по новой что ли составить запрос...?

 

 

Изменено пользователем modger
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
14 минут назад, modger сказал:

тип мне по новой что ли составить запрос...?

Прочтите правила создания запроса и выполните их. Новую тему создавать не нужно.

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

Вам во втором сообщении темы дали ссылку. Прочтите внимательно инструкцию по ней и выполните, там конкретно написано, что нужно сделать и как., а не в гадалку играйте.

safety

safety

Опубликовано
Опубликовано

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

safety

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

modger

modger

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
  


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

Я не очень понял куда добавить папку (Дата_времяlog.txt) по описанию после перезагрузки. 
 
 

image.png

2024-02-02_16-22-42_log.txt

просто я довольно глупый пк юзер по всей видимости 

 

safety

safety

Опубликовано
Опубликовано (изменено)

Цитировать сообщения консультанта не нужно, просто пишите свое сообщение в окне редактора. Судя по текущим угрозам - угрозы не актуальные.

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Изменено пользователем safety
modger

modger

Опубликовано
  • Автор
Опубликовано

Я не понял в каком смысле угроза не актуальна, все тот же троян как весел так и висит, но да ладно.
Вот отчет скана 

SecurityCheck.txt

safety

safety

Опубликовано
Опубликовано

На дату записи по угрозе обращайте внимание. В списке указываются угрозы, обнаруженные в течение определенного периода. Если сократить данный период до одного дня, т.е. актуальные на текущий день, то все предыдущие записи уже будут не актуальны.

 

Обновите данное ПО:

Notepad++ (64-bit x64) v.8.5.3 Внимание! Скачать обновления

FileZilla 3.65.0 v.3.65.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления

Discord v.1.0.9010 Внимание! Скачать обновления
Discord Canary v.1.0.151 Внимание! Скачать обновления
Zoom v.5.15.2 (18096) Внимание! Скачать обновления

Loaris Trojan Remover 3.1.60 v.3.1.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

 

 

 

modger

modger

Опубликовано
  • Автор
Опубликовано

Так, ну я обратился с задачей снести троян который у меня находит защита винды. Увидел проблему такого же характера и четко пояснил, что мне нужно так же снести его. Так что мне делать дальше, чтобы снести его с моего пк. Если прочесть выше, я делал все возможное вручную, что мог сам сделать, так вот обращаюсь с помощью,  чтобы мне помогли как и в прикрепленном выше решении проблемы на форму 

 

за период как обратился троян как был, так и остался тем же самым 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • raven34
      Вирус PDM:Trojan.Win32.Generic
      Автор raven34
      Здравствуйте. Качал CCleaner с официального сайта. Касперский обнаружил PDM:Trojan.Win32.Generic, и я применил лечение с перезагрузкой. 
      После перезагрузки установщик был удалён и комп работал как обычно, но мне всё равно немного тревожно.

      UPD: Случайно создал тему два раза. Извините 
       
      CollectionLog-2025.09.15-02.46.zip
    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • 321Максим123
      [РЕШЕНО] Майнер на компьютере
      Автор 321Максим123
      Здравствуйте. 

      Где-то подцепил майнер. Без диспетчера задач 100% работа ЦП, компьютер шумит. Скачал AV block remover. Установить удалось в безопасном режиме. Запустил скрип и получил отчет, который прикрепил к сообщению. После работы программы компьютер все равно требуется диспетчер. 
      AV_block_remove_2025.09.08-20.57.log
    • Maksim666
      Поймал троян
      Автор Maksim666
      Скачал файл для работы дискорда. На следующий день в играх почувствовал спад фпс. Проверил в антивирусе и увидел трояны. Снизу прикрепил логи.
      Check_Browsers_LNK.log HiJackThis.log info.txt log.txt report1.log report2.log
    • Maksim666
      Троян, нужна помощь с его устранением.
      Автор Maksim666
×
×
  • Создать...