Перейти к содержанию
Правила раздела

[РЕШЕНО] троян win32/phonzy.b ml как удалить

valeriithehuman

Автор valeriithehuman
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

valeriithehuman

valeriithehuman

Опубликовано
Опубликовано

Скачивал контент, а вместо контента получил троян и много-много вирусов (с ними справился стандартный антивирус виндовс (надеюсь))
Скачал файл, начал установку программы, антивирус сразу сбросил выполнение всех программ и начал очистку. После отчистки остался только этот троян.

Все файлы, которые я скачал, были удалены антивирусом и мной в ручную
заранее спасибо за помощь 

CollectionLog-2024.02.07-19.14.zipShortcut.txtFRST.txtAddition.txtimage.png.c200be7183dd7de5bc6f05672fd0d335.png

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Не нужно собирать логи "наперед". Действуйте только по инструкции.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\wproxy\winproxy\winproxy.exe');
 QuarantineFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 QuarantineFile('C:\ProgramData\descend-dollar\bin.exe', '');
 DeleteSchedulerTask('crumble-collar');
 DeleteSchedulerTask('WProxy\WinProxy');
 DeleteFile('c:\program files\wproxy\winproxy\winproxy.exe', '');
 DeleteFile('C:\Program Files\WProxy\WinProxy\WinProxy.exe', '64');
 DeleteFile('C:\ProgramData\descend-dollar\bin.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Далее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {587EB071-5DF6-40BE-AB10-7A86305D3CA1} - System32\Tasks\amazon-smile-S-1-5-21-3750073334-892561289-3621932978-1001 => C:\Windows\System32\msiexec.exe [69632 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\Компик\AppData\Local\Programs\b9cbbf\9c5a9b491e.msi" /quiet UHEB=1
Task: {AC050C0E-D842-49CA-88E0-213C5363F6AB} - System32\Tasks\iTop BF Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopbfp23.exe"  /bf (Нет файла)
Task: {3F258F48-928B-4C43-979E-75E4E040C724} - System32\Tasks\iTop XMS Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\itopxmsp23.exe"  /xms (Нет файла)
CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fkpgijfghdipchoficpinkglkgdfligm]
CHR HKU\S-1-5-21-3750073334-892561289-3621932978-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
AV: 360 Total Security (Disabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
AlternateDataStreams: C:\Users\Компик\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Компик\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{FC8A868C-62EB-422D-AEC3-2847412C5E1F}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{98988597-8234-400A-B9B4-60246C4D23B7}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

valeriithehuman

valeriithehuman

Опубликовано
  • Автор
Опубликовано (изменено)

произвёл быструю проверку

image.thumb.png.6adc43e68973360371bc601fb1aef028.png

Изменено пользователем valeriithehuman
Sandor

Sandor

Опубликовано
Опубликовано

Предположу, что это всё вчерашние обнаружения, уведомления о них должны пропасть через некоторое время.

 

Но давайте проверим:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Удалять (помещать в карантин) ничего не нужно.

 

Выполните такой скрипт.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

FRST64.exe запускали правой кнопкой от имени администратора?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • clobase
      trojan.packed2.45303 vulkaninfo
      Автор clobase
      Др веб нашел троян в файлах vulkaninfo, но при попытки лечения выдает ошибку.
    • Otola
      Vulkan
      Автор Otola
      Аналогично сегодня ругается на вулкан. И не лечит его, и не перемещает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Secret21
      Vulkaninfo.exe
      Автор Secret21
      Здравствуйте. Решил сделать плановую проверку пк через утилику dr web curelt и вот что он мне нашел, прочитав о подобном в интернете я нашел информацию что это могут быть ложные срабатывания.
      Использовал последнюю версию на момент 7 февраля.
      P.S после обновления драйвера nvidia этих "троянов" стало 8 вместо прошлых 6.

       
      CollectionLog-2026.02.07-04.56.zip
×
×
  • Создать...