Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Trojan:Win32/Malgent!MTB

Shkine

Автор Shkine,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Shkine

Shkine 1

Опубликовано
Опубликовано

Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.

Gb8FQa0SRMo.jpg

wfQr3e4btDw.jpg

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
Shkine

Shkine 1

Опубликовано
  • Автор
Опубликовано

99 процентов, что словил это когда установил левую программу, осознав,  что это не пойми что, сразу снёс. Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано
Quote

Date: 2024-02-04 23:12:04
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Trojan:Win32/Vigorf.A
ИД: 2147714384
Серьезность: Критический
Категория: Троян
Путь: file:_F:\Programs\SpotXmodPortable-1.1.96.785\SpotifyPortable.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Пользователь
Пользователь: Shkine\panda
Название процесса: C:\Windows\explorer.exe

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
Shkine

Shkine 1

Опубликовано
  • Автор
Опубликовано
11 часов назад, safety сказал:

Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

SHKINE_2024-02-05_14-09-23_v4.15.1.7z

 

А что это в итоге? Это вообще является вирусом или ...? Просто вы выделили спотифай, но я сомневаюсь что там есть именно вирус. Знаю что он может определять в нем что то как вирус

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\PANDA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PONFPCNOIHFMFLLPAINGBGCKEELDKHLE\2.0.122_0\ENHANCER FOR YOUTUBE™
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\PANDA\DOWNLOADS\TPORTABLE-X64.4.11.7\TELEGRAM\TELEGRAM.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Ссылка на сообщение
Поделиться на другие сайты
Shkine

Shkine 1

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

После выполнения скрипта винда стала еще ругаться на сам скрипт как я понимаю из за чего не дает в uVS сделать образ автозапуска.(ошибка номер 2 когда нажимаю запустить под текущим пользователем). Что касается Uvs мне разрешить его на устройстве? 

GU504GCZ--c.jpg

C4L53PLjEtc.jpg

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

да, windef может ругаться на uVS, вы можете просто добавить папку с uVS в исключение. и продолжить выполнение скрипта.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано

образ новый не нужен, нужен файл с именем дата_времяlog.txt, он должен быть после выполнения скрипта в папке, откуда запускали uvs.

9 hours ago, Shkine said:

Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

дата уже не актуальная, возможно просто период для угроз указан 2 недели. проверьте, есть ли на самом деле данный файл по указанному на скрине пути.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано (изменено)

Очистка в uVS прошла успешно, хотя она и не затрагивает файл по указанному на скрине пути. Он не попал в образ, так как очевидно не в автозапуске. Возможно, в журнале Windef это была реакция на файл после установки чего-то, что вы описали выше.

Проверьте, есть ли данный файл по указанному пути или нет.

 

Для очистки записей журнала Windef можно изменить период.

пробуйте запустить cmd от имени Администратора, и в командной строке выполнить: 

PowerShell Set-MpPreference -ScanPurgeItemsAfterDelay 1

Если выполнится без ошибок, то можно будет проверить список угроз через 1-2 дня.

Напишите по результату.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Shkine

Shkine 1

Опубликовано
  • Автор
Опубликовано
2 минуты назад, safety сказал:

Проверьте, есть ли данный файл по указанному пути или нет.

Нет его и вчера не было. Попробую сделать, отпишу как оно будет. В любом случае благодарю

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 124

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • kudyukovn
      Вирус / Майнер
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • Ivy_Sekoru
      Trojan
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • Ярослав Ферхов
      Не могу удалить вирус HEUR:Trojan.Multi.GenBadur.genw
      От Ярослав Ферхов
      Антивирус жаловался на троян, я нажал "Лечить с перезагрузкой" , он его вроде вылечил, но после перезагрузки вирус снова появился. Как его вылечить? 

    • timoshka
      Троян что да каk
      От timoshka
      И так я скачал игру(пиратку, не горжусь) и при проверки системы нашло троян. Прошел все удаление, перезапуск системы. Но я не уверен что он удалился на 100%, как это можно проверить? прошел быструю проверку ничего не нашло, щас запустил полную. 
      Возможно ли что антивирусник так ошибся и ка точно удалить троян если он остался(мб система не удалило его)
      Да, мне страшно...
      как закончится полная напишу что сказало
       
      ничего не нашло, только написало что 1 обьект не был проверен в облаке, может ли быть это троян?
    • parnishka
      UDS.Trojan Multigeneric и UDS Trojan Shelm, помогите!
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
×
×
  • Создать...