Перейти к содержанию
Правила раздела

[РЕШЕНО] троян win32/phonzy.b ml как удалить

valeriithehuman

Автор valeriithehuman,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

valeriithehuman

valeriithehuman 0

Опубликовано
Опубликовано

Скачивал контент, а вместо контента получил троян и много-много вирусов (с ними справился стандартный антивирус виндовс (надеюсь))
Скачал файл, начал установку программы, антивирус сразу сбросил выполнение всех программ и начал очистку. После отчистки остался только этот троян.

Все файлы, которые я скачал, были удалены антивирусом и мной в ручную
заранее спасибо за помощь 

CollectionLog-2024.02.07-19.14.zipShortcut.txtFRST.txtAddition.txtimage.png.c200be7183dd7de5bc6f05672fd0d335.png

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Здравствуйте!

 

Не нужно собирать логи "наперед". Действуйте только по инструкции.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\descend-dollar\bin.exe', '');
 DeleteSchedulerTask('crumble-collar');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\descend-dollar\bin.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Далее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {587EB071-5DF6-40BE-AB10-7A86305D3CA1} - System32\Tasks\amazon-smile-S-1-5-21-3750073334-892561289-3621932978-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Компик\AppData\Local\Programs\b9cbbf\9c5a9b491e.msi" /quiet UHEB=1
Task: {AC050C0E-D842-49CA-88E0-213C5363F6AB} - System32\Tasks\iTop BF Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopbfp23.exe"  /bf (Нет файла)
Task: {3F258F48-928B-4C43-979E-75E4E040C724} - System32\Tasks\iTop XMS Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopxmsp23.exe"  /xms (Нет файла)
CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkpgijfghdipchoficpinkglkgdfligm]
CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
AlternateDataStreams: C:\Users\Компик\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Компик\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{FC8A868C-62EB-422D-AEC3-2847412C5E1F}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{98988597-8234-400A-B9B4-60246C4D23B7}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Предположу, что это всё вчерашние обнаружения, уведомления о них должны пропасть через некоторое время.

 

Но давайте проверим:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 282

Опубликовано
Опубликовано

Удалять (помещать в карантин) ничего не нужно.

 

Выполните такой скрипт.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ArCtic
      Последствия вируса
      От ArCtic
      Здравствуйте! Помогите, пожалуйста, избавиться от  последствий вируса, который не давал запустить любую утилиту антивируса. Сам вирус уже удален, но папки от него остались. Открыть и удалить их не выходит.

      CollectionLog-2024.08.25-09.23.zip
    • T23
      Trojan:Win32/Wacatac.H!ml
      От T23
      Пж помогите решить проблему.

    • Пантелеймон
      Поймал вирус
      От Пантелеймон
      Добрый день! 
      Подхватил вирус удаленного доступа 
      Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
      Переустановка Винды не помогла 
      Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
      Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
      Хотелось бы изгнать этого нарушителя, с вашей помощью
      CollectionLog-2024.08.16-11.23.zip
    • Specture
      вирус updater.exe
      От Specture
      В папке C:/ProgramData/google/chrome засел самовосстанавливающиеся вирус updater.exe, скорее всего майнер. Пытался удалить разными способами, но восстанавливается сам. Нагружает процессор, портит железо. Периодически вылетают синие экраны, предположительно тоже из за него. Как я могу его удалить?

    • MadMess
      Скачал программу WoMic с сайта wolicheng.com а там троян
      От MadMess
      Скачал программу WoMic с сайта wolicheng.com (сайт по моему официальный), а там троян если верить антивирусам. Вообщем скачал я эту программу чтобы пользоваться телефоном как микрофон, после установки я проверил на вирустотал, а там нашли троян 7 антивирусов, в том числе был Dr.Web. Хотел удалить через uninstaller который находился в папке WoMic, но там удалился только часть файлов, а сама программа все равно работала, пришлось вручную все удалять. Очистил всю эту папку, но не уверен что полностью удалил. После очистки я сбросил до точки восстановления, где не устанавливал эту программу, а после проверил через одноразовый антивирус Dr Web в безопасном режиме, вирусы он не обнаружил. Осталось три вопроса: "дейстительно ли в программе находился троян?", "точка восстановления спасает от вирусов, если на точке не было вирусов?" и "есть смысл сбросить до заводских настроек?". Человек я похож на параоника, и не успокоюсь пока вирусы не удалятся полностью
×
×
  • Создать...