Перейти к содержанию

[РЕШЕНО] Trojan:Win32/Malgent!MTB


Рекомендуемые сообщения

Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.

Gb8FQa0SRMo.jpg

wfQr3e4btDw.jpg

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

99 процентов, что словил это когда установил левую программу, осознав,  что это не пойми что, сразу снёс. Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

Ссылка на сообщение
Поделиться на другие сайты
Quote

Date: 2024-02-04 23:12:04
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Trojan:Win32/Vigorf.A
ИД: 2147714384
Серьезность: Критический
Категория: Троян
Путь: file:_F:\Programs\SpotXmodPortable-1.1.96.785\SpotifyPortable.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Пользователь
Пользователь: Shkine\panda
Название процесса: C:\Windows\explorer.exe

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
11 часов назад, safety сказал:

Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

SHKINE_2024-02-05_14-09-23_v4.15.1.7z

 

А что это в итоге? Это вообще является вирусом или ...? Просто вы выделили спотифай, но я сомневаюсь что там есть именно вирус. Знаю что он может определять в нем что то как вирус

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\PANDA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PONFPCNOIHFMFLLPAINGBGCKEELDKHLE\2.0.122_0\ENHANCER FOR YOUTUBE™
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\PANDA\DOWNLOADS\TPORTABLE-X64.4.11.7\TELEGRAM\TELEGRAM.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, safety сказал:

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

После выполнения скрипта винда стала еще ругаться на сам скрипт как я понимаю из за чего не дает в uVS сделать образ автозапуска.(ошибка номер 2 когда нажимаю запустить под текущим пользователем). Что касается Uvs мне разрешить его на устройстве? 

GU504GCZ--c.jpg

C4L53PLjEtc.jpg

Ссылка на сообщение
Поделиться на другие сайты

да, windef может ругаться на uVS, вы можете просто добавить папку с uVS в исключение. и продолжить выполнение скрипта.

Ссылка на сообщение
Поделиться на другие сайты

образ новый не нужен, нужен файл с именем дата_времяlog.txt, он должен быть после выполнения скрипта в папке, откуда запускали uvs.

9 hours ago, Shkine said:

Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

дата уже не актуальная, возможно просто период для угроз указан 2 недели. проверьте, есть ли на самом деле данный файл по указанному на скрине пути.

Ссылка на сообщение
Поделиться на другие сайты

Очистка в uVS прошла успешно, хотя она и не затрагивает файл по указанному на скрине пути. Он не попал в образ, так как очевидно не в автозапуске. Возможно, в журнале Windef это была реакция на файл после установки чего-то, что вы описали выше.

Проверьте, есть ли данный файл по указанному пути или нет.

 

Для очистки записей журнала Windef можно изменить период.

пробуйте запустить cmd от имени Администратора, и в командной строке выполнить:

PowerShell Set-MpPreference -ScanPurgeItemsAfterDelay 1

Если выполнится без ошибок, то можно будет проверить список угроз через 1-2 дня.

Напишите по результату.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, safety сказал:

Проверьте, есть ли данный файл по указанному пути или нет.

Нет его и вчера не было. Попробую сделать, отпишу как оно будет. В любом случае благодарю

 

Ссылка на сообщение
Поделиться на другие сайты
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Galem333
      От Galem333
      Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
    • Barrrin
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
    • ApploDi
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • larmaswed
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Roman9876
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
×
×
  • Создать...