Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan:Win32/Malgent!MTB

Shkine

Автор Shkine
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Shkine

Shkine

Опубликовано
Опубликовано

Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.

Gb8FQa0SRMo.jpg

wfQr3e4btDw.jpg

Addition.txt FRST.txt

Shkine

Shkine

Опубликовано
  • Автор
Опубликовано

99 процентов, что словил это когда установил левую программу, осознав,  что это не пойми что, сразу снёс. Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

safety

safety

Опубликовано
Опубликовано
Quote

Date: 2024-02-04 23:12:04
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Trojan:Win32/Vigorf.A
ИД: 2147714384
Серьезность: Критический
Категория: Троян
Путь: file:_F:\Programs\SpotXmodPortable-1.1.96.785\SpotifyPortable.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Пользователь
Пользователь: Shkine\panda
Название процесса: C:\Windows\explorer.exe

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Shkine

Shkine

Опубликовано
  • Автор
Опубликовано
11 часов назад, safety сказал:

Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

SHKINE_2024-02-05_14-09-23_v4.15.1.7z

 

А что это в итоге? Это вообще является вирусом или ...? Просто вы выделили спотифай, но я сомневаюсь что там есть именно вирус. Знаю что он может определять в нем что то как вирус

safety

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\PANDA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PONFPCNOIHFMFLLPAINGBGCKEELDKHLE\2.0.122_0\ENHANCER FOR YOUTUBE™
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\USERS\PANDA\DOWNLOADS\TPORTABLE-X64.4.11.7\TELEGRAM\TELEGRAM.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

Shkine

Shkine

Опубликовано
  • Автор
Опубликовано
8 минут назад, safety сказал:

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.

После выполнения скрипта винда стала еще ругаться на сам скрипт как я понимаю из за чего не дает в uVS сделать образ автозапуска.(ошибка номер 2 когда нажимаю запустить под текущим пользователем). Что касается Uvs мне разрешить его на устройстве? 

GU504GCZ--c.jpg

C4L53PLjEtc.jpg

safety

safety

Опубликовано
Опубликовано

да, windef может ругаться на uVS, вы можете просто добавить папку с uVS в исключение. и продолжить выполнение скрипта.

safety

safety

Опубликовано
Опубликовано

образ новый не нужен, нужен файл с именем дата_времяlog.txt, он должен быть после выполнения скрипта в папке, откуда запускали uvs.

9 hours ago, Shkine said:

Но защитник ругается по сей день с датой 27, и состоянием активное. Что это на деле не знаю

дата уже не актуальная, возможно просто период для угроз указан 2 недели. проверьте, есть ли на самом деле данный файл по указанному на скрине пути.

safety

safety

Опубликовано
Опубликовано (изменено)

Очистка в uVS прошла успешно, хотя она и не затрагивает файл по указанному на скрине пути. Он не попал в образ, так как очевидно не в автозапуске. Возможно, в журнале Windef это была реакция на файл после установки чего-то, что вы описали выше.

Проверьте, есть ли данный файл по указанному пути или нет.

 

Для очистки записей журнала Windef можно изменить период.

пробуйте запустить cmd от имени Администратора, и в командной строке выполнить: 

PowerShell Set-MpPreference -ScanPurgeItemsAfterDelay 1

Если выполнится без ошибок, то можно будет проверить список угроз через 1-2 дня.

Напишите по результату.

Изменено пользователем safety
Shkine

Shkine

Опубликовано
  • Автор
Опубликовано
2 минуты назад, safety сказал:

Проверьте, есть ли данный файл по указанному пути или нет.

Нет его и вчера не было. Попробую сделать, отпишу как оно будет. В любом случае благодарю

 

safety

safety

Опубликовано
Опубликовано
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LenS
      [РЕШЕНО] Исправить MEM:Trojan.Multi.Agent.gen
      Автор LenS
      Не поняла, когда проскочил вирус. Возможно, во время загрузки аудио через торент. Каждые две минуты попытки выйти в какие-то "опасные сайты". Антивирус жалуется, что вирусов вообще несколько, но проверка с помощью Kaspersky Virus Removal Tool выявила только одну проблему. Скрины сообщений от антивируса и логи прикрепляю. Помогите, пожалуйста. Коппьютер нужен для работы, не хочется переустанавливать винду



      CollectionLog-2026.02.06-18.15.zip отчет_касперский.txt
    • trotnl
      Трояны и вирусные расширения браузера
      Автор trotnl
      Недавно мной были замечены странные видео в истории просмотра, которые я, естественно, не смотрел, решил проверить в чем проблема, выяснилось что у меня появилось неизвестного происхождения расширение которое маскируется под adblock, где при переходе на сайт разработчика выходит фейковый сайт (см. прикрепленные фото)

       
       
      Решил удалить напрямую из папки расширений браузера, но это тоже не помогло, они просто подгрузились обратно, далее провел проверку программой Dr.Web CureIt! который нашел следующие проблемы:
       
       

      Также прикрепляю логи: CollectionLog-2026.01.31-13.40.zip Addition.txtFRST.txtAdwCleaner[C00].txt
    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • verty
      Нужна помощь с вирусом BiopassRAT
      Автор verty
      Помогите решить проблему с вирусом, все началось  с того что мне какие то стримеры скинули вирус я так понимаю его название BiopassRAT, может другой вирус , без понятия, но видеть меня могли почти все стримеры в программах для стримингов, обс студио и т.д, менял устройства с симкартами и аккаунтами, ничего не помогало, все ровно как то накидывали его, не подключался к зараженным роутеру, по скольку у меня его нету, вообще без понятия как, но прослушиваюсь 24/7 
    • Iskrinkagame
      [РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.
      Автор Iskrinkagame
      Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.
       
       

×
×
  • Создать...