[РЕШЕНО] Trojan:Win32/Malgent!MTB

[Shkine]

Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.

Addition.txt FRST.txt

[Shkine]

CollectionLog-2024.02.05-01.03.zip

[Shkine]

99 процентов, что словил это когда установил левую программу, осознав,  что это не пойми что, сразу снёс. Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

[safety]

Quote

Date: 2024-02-04 23:12:04
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Trojan:Win32/Vigorf.A
ИД: 2147714384
Серьезность: Критический
Категория: Троян
Путь: file:_F:\Programs\SpotXmodPortable-1.1.96.785\SpotifyPortable.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Пользователь
Пользователь: Shkine\panda
Название процесса: C:\Windows\explorer.exe

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Shkine]

11 часов назад, safety сказал:

Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

SHKINE_2024-02-05_14-09-23_v4.15.1.7z

 

А что это в итоге? Это вообще является вирусом или ...? Просто вы выделили спотифай, но я сомневаюсь что там есть именно вирус. Знаю что он может определять в нем что то как вирус

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\PANDA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PONFPCNOIHFMFLLPAINGBGCKEELDKHLE\2.0.122_0\ENHANCER FOR YOUTUBE™
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\PANDA\DOWNLOADS\TPORTABLE-X64.4.11.7\TELEGRAM\TELEGRAM.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

[Shkine]

8 минут назад, safety сказал:

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

После выполнения скрипта винда стала еще ругаться на сам скрипт как я понимаю из за чего не дает в uVS сделать образ автозапуска.(ошибка номер 2 когда нажимаю запустить под текущим пользователем). Что касается Uvs мне разрешить его на устройстве? 

[safety]

да, windef может ругаться на uVS, вы можете просто добавить папку с uVS в исключение. и продолжить выполнение скрипта.

[Shkine]

6 минут назад, safety сказал:

и продолжить выполнение скрипта.

В защитнике все по прежнему

SHKINE_2024-02-05_15-21-42_v4.15.1.7z

[safety]

образ новый не нужен, нужен файл с именем дата_времяlog.txt, он должен быть после выполнения скрипта в папке, откуда запускали uvs.

9 hours ago, Shkine said:

Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

дата уже не актуальная, возможно просто период для угроз указан 2 недели. проверьте, есть ли на самом деле данный файл по указанному на скрине пути.

[Shkine]

3 минуты назад, safety сказал:

с именем дата_времяlog.txt

2024-02-05_15-09-22_log.txt

[safety]

Очистка в uVS прошла успешно, хотя она и не затрагивает файл по указанному на скрине пути. Он не попал в образ, так как очевидно не в автозапуске. Возможно, в журнале Windef это была реакция на файл после установки чего-то, что вы описали выше.

Проверьте, есть ли данный файл по указанному пути или нет.

 

Для очистки записей журнала Windef можно изменить период.

пробуйте запустить cmd от имени Администратора, и в командной строке выполнить:

PowerShell Set-MpPreference -ScanPurgeItemsAfterDelay 1

Если выполнится без ошибок, то можно будет проверить список угроз через 1-2 дня.

Напишите по результату.

Изменено 5 февраля пользователем safety

[Shkine]

2 минуты назад, safety сказал:

Проверьте, есть ли данный файл по указанному пути или нет.

Нет его и вчера не было. Попробую сделать, отпишу как оно будет. В любом случае благодарю

 

[safety]

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Shkine]

3 часа назад, safety сказал:

Прикрепите этот файл к своему следующему сообщению.

 

SecurityCheck.txt