Перейти к содержанию

Рекомендуемые сообщения

Добрый вечер, напоролся на классный троян который не могу снести, антивирусы его при полном сканировании не обнаруживают, в безопасном режиме тоже мучался, этот троян не хочет уходить с моего ноутбука ни как. Он скачивался на рабочий стол в папку которой уже нет с момента как понял, что скачал вирусняк все же. В защите от вирусов и угроз по началу отображалось 2 угроза, затем одна, а теперь снова две по ходу всех махинаций, на данный момент мне показывает, что троян находится в несуществующей папке на рабочем столе. Пробовал по ходу всего этого скачать троян ремувер, скачать удалось, а открыть не дает в никакую.
Мне очень нужна помощь, сносить систему вообще не вариант. 
Обращаюсь впервые жизни на форум после того как видел это решение проблемы

На данный момент я на этапе сканирования в программе FRST с теми же галочками как и было указано в том решении проблемы по ссылке.
Прикрепил отчеты.
Далее я не делал так как помощник на том вопросе указал, что не нужно повторять, ибо это может крашнуть винду, так как то что он делал относилось конкретно к тому человеку у которого была эта проблема.

2.jpg

1.jpg

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
16 минут назад, Mark D. Pearlstone сказал:

 

16 минут назад, Mark D. Pearlstone сказал:

тип мне по новой что ли составить запрос...?

 

 

Изменено пользователем modger
Ссылка на сообщение
Поделиться на другие сайты
Mark D. Pearlstone
14 минут назад, modger сказал:

тип мне по новой что ли составить запрос...?

Прочтите правила создания запроса и выполните их. Новую тему создавать не нужно.

Ссылка на сообщение
Поделиться на другие сайты
Mark D. Pearlstone

Вам во втором сообщении темы дали ссылку. Прочтите внимательно инструкцию по ней и выполните, там конкретно написано, что нужно сделать и как., а не в гадалку играйте.

Ссылка на сообщение
Поделиться на другие сайты

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, safety сказал:

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %Sys32%\EM.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\LEXAM\APPDATA\LOCAL\TEMP\HWINFO64A_187.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRA~3\NORTON\{0C55C~1\NORTON~1.EXE
delref %SystemDrive%\PROGRAM FILES\PROTON\VPN\PROTONVPN.LAUNCHER.EXE
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROJECT ZOMBOID\FREETP.ORG.URL
delref %SystemDrive%\USERS\LEXAM\РАБОЧИЙ СТОЛ\плохой НА ПРОВЕРКУ\MSI HUINA\MSI AFTERBURNER\UNINSTALL.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\LEXAM\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\PROGRAM FILES\ANYMP4 STUDIO\ANYMP4 VIDEO CONVERTER ULTIMATE\ANYMP4 VIDEO CONVERTER ULTIMATE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Судя по журналу обнаружений Windef - детекты связаны с ломанными программами и крэками. попробуйте их спрятать в архивы, и понаблюдайте за windef, потерял он их след, или по прежнему будет выдавать обнаружение угроз.

Я не очень понял куда добавить папку (Дата_времяlog.txt) по описанию после перезагрузки. 
 
 

image.png

2024-02-02_16-22-42_log.txt

просто я довольно глупый пк юзер по всей видимости 

 

Ссылка на сообщение
Поделиться на другие сайты

Цитировать сообщения консультанта не нужно, просто пишите свое сообщение в окне редактора. Судя по текущим угрозам - угрозы не актуальные.

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

На дату записи по угрозе обращайте внимание. В списке указываются угрозы, обнаруженные в течение определенного периода. Если сократить данный период до одного дня, т.е. актуальные на текущий день, то все предыдущие записи уже будут не актуальны.

 

Обновите данное ПО:

Notepad++ (64-bit x64) v.8.5.3 Внимание! Скачать обновления

FileZilla 3.65.0 v.3.65.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления

Discord v.1.0.9010 Внимание! Скачать обновления
Discord Canary v.1.0.151 Внимание! Скачать обновления
Zoom v.5.15.2 (18096) Внимание! Скачать обновления

Loaris Trojan Remover 3.1.60 v.3.1.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

 

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Так, ну я обратился с задачей снести троян который у меня находит защита винды. Увидел проблему такого же характера и четко пояснил, что мне нужно так же снести его. Так что мне делать дальше, чтобы снести его с моего пк. Если прочесть выше, я делал все возможное вручную, что мог сам сделать, так вот обращаюсь с помощью,  чтобы мне помогли как и в прикрепленном выше решении проблемы на форму 

 

за период как обратился троян как был, так и остался тем же самым 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • sassavech
      От sassavech
      Касперским был обнаружен вирус MEM:Trojan.win32.SEPEH.gen, антивирусом не удаляется и после перезагрузки появляется вновь.
      вот логи
      CollectionLog-2024.07.14-19.06.zip
    • Barrrin
      От Barrrin
      Снова здравствуйте, сегодня антивирус касперский нашел файл Trojan.Win32.Penguish.bzb и удалил его, но для успокоения себя я все таки решил обратиться за помощью. Потому что очень странно откуда появляются трояны, учитывая насколько я осторожно пользуюсь пк и не скачиваю ничего со сторонних сайтов, а только с официальных источников 
      CollectionLog-2024.06.26-15.42.zip
    • Андрей2029
      От Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


    • Shizgael
      От Shizgael
      microsoft security essential в автономном режиме находит но недолечивает после перезагрузки все возвращается обратно
      + видоизменяет хост добавляя в него все сайты антивирусов с нулевыми IP 
      file: C:\Program Files\Google\Chrome\updater.exe
      file: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC->(UTF-16LE)
      taskscheduler: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC
       
       
       
    • Galem333
      От Galem333
      Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
×
×
  • Создать...