Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Trojan:Win32/Malgent!MTB

Shkine

Автор Shkine
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Shkine

Shkine

Опубликовано
Опубликовано

Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.

Gb8FQa0SRMo.jpg

wfQr3e4btDw.jpg

Addition.txt FRST.txt

Shkine

Shkine

Опубликовано
  • Автор
Опубликовано

99 процентов, что словил это когда установил левую программу, осознав,  что это не пойми что, сразу снёс. Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

safety

safety

Опубликовано
Опубликовано
Quote

Date: 2024-02-04 23:12:04
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Trojan:Win32/Vigorf.A
ИД: 2147714384
Серьезность: Критический
Категория: Троян
Путь: file:_F:\Programs\SpotXmodPortable-1.1.96.785\SpotifyPortable.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Пользователь
Пользователь: Shkine\panda
Название процесса: C:\Windows\explorer.exe

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Shkine

Shkine

Опубликовано
  • Автор
Опубликовано
11 часов назад, safety сказал:

Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

SHKINE_2024-02-05_14-09-23_v4.15.1.7z

 

А что это в итоге? Это вообще является вирусом или ...? Просто вы выделили спотифай, но я сомневаюсь что там есть именно вирус. Знаю что он может определять в нем что то как вирус

safety

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\PANDA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PONFPCNOIHFMFLLPAINGBGCKEELDKHLE\2.0.122_0\ENHANCER FOR YOUTUBE™
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\PANDA\DOWNLOADS\TPORTABLE-X64.4.11.7\TELEGRAM\TELEGRAM.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Shkine

Shkine

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

После выполнения скрипта винда стала еще ругаться на сам скрипт как я понимаю из за чего не дает в uVS сделать образ автозапуска.(ошибка номер 2 когда нажимаю запустить под текущим пользователем). Что касается Uvs мне разрешить его на устройстве? 

GU504GCZ--c.jpg

C4L53PLjEtc.jpg

safety

safety

Опубликовано
Опубликовано

да, windef может ругаться на uVS, вы можете просто добавить папку с uVS в исключение. и продолжить выполнение скрипта.

safety

safety

Опубликовано
Опубликовано

образ новый не нужен, нужен файл с именем дата_времяlog.txt, он должен быть после выполнения скрипта в папке, откуда запускали uvs.

9 hours ago, Shkine said:

Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

дата уже не актуальная, возможно просто период для угроз указан 2 недели. проверьте, есть ли на самом деле данный файл по указанному на скрине пути.

safety

safety

Опубликовано
Опубликовано (изменено)

Очистка в uVS прошла успешно, хотя она и не затрагивает файл по указанному на скрине пути. Он не попал в образ, так как очевидно не в автозапуске. Возможно, в журнале Windef это была реакция на файл после установки чего-то, что вы описали выше.

Проверьте, есть ли данный файл по указанному пути или нет.

 

Для очистки записей журнала Windef можно изменить период.

пробуйте запустить cmd от имени Администратора, и в командной строке выполнить: 

PowerShell Set-MpPreference -ScanPurgeItemsAfterDelay 1

Если выполнится без ошибок, то можно будет проверить список угроз через 1-2 дня.

Напишите по результату.

Изменено пользователем safety
Shkine

Shkine

Опубликовано
  • Автор
Опубликовано
2 минуты назад, safety сказал:

Проверьте, есть ли данный файл по указанному пути или нет.

Нет его и вчера не было. Попробую сделать, отпишу как оно будет. В любом случае благодарю

 

safety

safety

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Bloodii
      Trojan:MSIL/Injector.AH!MTB
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • mkukgh
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
    • BReDD
      Trojan:PowerShell/Bynoco. RR!amc
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
×
×
  • Создать...