Перейти к содержанию

[РЕШЕНО] троян win32/phonzy.b ml как удалить


Рекомендуемые сообщения

Скачивал контент, а вместо контента получил троян и много-много вирусов (с ними справился стандартный антивирус виндовс (надеюсь))
Скачал файл, начал установку программы, антивирус сразу сбросил выполнение всех программ и начал очистку. После отчистки остался только этот троян.

Все файлы, которые я скачал, были удалены антивирусом и мной в ручную
заранее спасибо за помощь 

CollectionLog-2024.02.07-19.14.zipShortcut.txtFRST.txtAddition.txtimage.png.c200be7183dd7de5bc6f05672fd0d335.png

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Не нужно собирать логи "наперед". Действуйте только по инструкции.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\descend-dollar\bin.exe', '');
 DeleteSchedulerTask('crumble-collar');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\descend-dollar\bin.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Ссылка на сообщение
Поделиться на другие сайты

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Далее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {587EB071-5DF6-40BE-AB10-7A86305D3CA1} - System32\Tasks\amazon-smile-S-1-5-21-3750073334-892561289-3621932978-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Компик\AppData\Local\Programs\b9cbbf\9c5a9b491e.msi" /quiet UHEB=1
    Task: {AC050C0E-D842-49CA-88E0-213C5363F6AB} - System32\Tasks\iTop BF Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopbfp23.exe"  /bf (Нет файла)
    Task: {3F258F48-928B-4C43-979E-75E4E040C724} - System32\Tasks\iTop XMS Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopxmsp23.exe"  /xms (Нет файла)
    CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkpgijfghdipchoficpinkglkgdfligm]
    CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    AlternateDataStreams: C:\Users\Компик\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Компик\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{FC8A868C-62EB-422D-AEC3-2847412C5E1F}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
    FirewallRules: [{98988597-8234-400A-B9B4-60246C4D23B7}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Предположу, что это всё вчерашние обнаружения, уведомления о них должны пропасть через некоторое время.

 

Но давайте проверим:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Удалять (помещать в карантин) ничего не нужно.

 

Выполните такой скрипт.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    StartPowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -Mapsreporting basic -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -UILockdown 0
    Set-MpPreference -ScanPurgeItemsAfterDelay 1
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    Get-MpComputerStatus
    Get-MpPreference
    EndPowershell:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Kaross
      От Kaross
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

    • boooba
      От boooba
      Здравствуйте, скачала кряк приложения, вылезли вирусы и троян, вирусы удалились, а вот троян завис в защитнике windows. Сам торрент, указанный в качестве корневой папки, удалила, защитник все равно ведет на него. Никакими антивирусниками не пользуюсь  


    • DeatherWill
      От DeatherWill
      Здравствуйте, антивирус Касперского несколько раз
      обнаружил указанный вирус, но в отчетах указано,
      что проблема не была решена.
       
      Также в папке пользователя на диске С сразу после
      первого обнаружения вируса появился системный
      файл NTUSER.DAT. Раньше его там не было.
       
      Логи приложил. Проверил компьютер рекомендуемыми
      в правилах форума программами — не обнаружили вируса,
      но он есть
       
      Помогите, пожалуйста, решить проблему желательно
      без полной переустановки системы.
       
      Также я не очень разбираюсь в компьютерах, поэтому
      если от меня нужно будет совершить какие-либо действия,
      то, пожалуйста, опишите по пунктам


      CollectionLog-2024.02.26-06.13.zip
    • Kiri
      От Kiri
      Здравствуйте! Проблема с вирусом, который никак не получается удалить. Касперский его видит, удаляет, но после перезагрузки вирус снова жив и сидит в той же папке C:\ProgramData\BeatArchitect-2ebdf839-5209-4c62-ae71-0f1127a70722
      Если открываешь диспетчер задач, то майнинг успокаивается и кушает скромные ресурсы, но из списка активных не исчезает, на Process Hacker такая же реакция, а вот System Explorera вирус не стесняется.  В диспетчере отображается как help.exe
      папка C:\ProgramData\BeatArchitect-2ebdf839-5209-4c62-ae71-0f1127a70722 невидима даже если включено "отображать скрытые", но Total Commander ее видит и без проблем удаляет, после перезагрузки все на тех же местах.
      На скриншотах видно как он выглядит в папке и как на него ругается Касперский .
       
      Прошу прощения, что коряво объяснил - у меня врожденный компьютерный кретинизм) 



      CollectionLog-2024.02.18-21.10.zip Addition.txt FRST.txt
    • АнтонРоманович
      От АнтонРоманович
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      KIS его находит сразу при включении и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Пробовал удалить вручную папку, которую указал KIS, но она восстанавливается.
      Подскажите, что делать? Спасибо

      В общем, тоже самое, что и  https://forum.kasperskyclub.ru/topic/421091-resheno-heurtrojanwin64minergen-kak-udalit-jetot-virus/
      FRST.txt Addition.txt
×
×
  • Создать...