[РЕШЕНО] троян win32/phonzy.b ml как удалить

[valeriithehuman 0]

Скачивал контент, а вместо контента получил троян и много-много вирусов (с ними справился стандартный антивирус виндовс (надеюсь))
Скачал файл, начал установку программы, антивирус сразу сбросил выполнение всех программ и начал очистку. После отчистки остался только этот троян.

Все файлы, которые я скачал, были удалены антивирусом и мной в ручную
заранее спасибо за помощь 

CollectionLog-2024.02.07-19.14.zipShortcut.txtFRST.txtAddition.txt

[valeriithehuman 0]

Здравствуйте

[Sandor 1 253]

Здравствуйте!

 

Не нужно собирать логи "наперед". Действуйте только по инструкции.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\descend-dollar\bin.exe', '');
 DeleteSchedulerTask('crumble-collar');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\descend-dollar\bin.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[valeriithehuman 0]

Shortcut.txtFRST.txtAddition.txt

[Sandor 1 253]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Далее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {587EB071-5DF6-40BE-AB10-7A86305D3CA1} - System32\Tasks\amazon-smile-S-1-5-21-3750073334-892561289-3621932978-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Компик\AppData\Local\Programs\b9cbbf\9c5a9b491e.msi" /quiet UHEB=1
  Task: {AC050C0E-D842-49CA-88E0-213C5363F6AB} - System32\Tasks\iTop BF Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopbfp23.exe"  /bf (Нет файла)
  Task: {3F258F48-928B-4C43-979E-75E4E040C724} - System32\Tasks\iTop XMS Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopxmsp23.exe"  /xms (Нет файла)
  CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkpgijfghdipchoficpinkglkgdfligm]
  CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
  AlternateDataStreams: C:\Users\Компик\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Компик\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{FC8A868C-62EB-422D-AEC3-2847412C5E1F}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  FirewallRules: [{98988597-8234-400A-B9B4-60246C4D23B7}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[valeriithehuman 0]

Fixlog.txt

[Sandor 1 253]

Хорошо. Что сейчас с проблемой?

[valeriithehuman 0]

произвёл быструю проверку

Изменено 8 февраля пользователем valeriithehuman

[Sandor 1 253]

Предположу, что это всё вчерашние обнаружения, уведомления о них должны пропасть через некоторое время.

 

Но давайте проверим:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[valeriithehuman 0]

 

scan.txt

 

[Sandor 1 253]

Удалять (помещать в карантин) ничего не нужно.

 

Выполните такой скрипт.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 1
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[valeriithehuman 0]

Fixlog.txtFixlog.txt

[Sandor 1 253]

FRST64.exe запускали правой кнопкой от имени администратора?

[valeriithehuman 0]

Да, только так и запускаю все программы

[Sandor 1 253]

Выполните этот же последний скрипт в безопасном режиме.

Новый Fixlog.txt прикрепите.