Перейти к содержанию
Правила раздела

[РЕШЕНО] Антивирусное ПО не может удалить троян Trojan.Win32.Yephiler

EvgeniyF

Автор EvgeniyF
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

EvgeniyF

EvgeniyF

Опубликовано
Опубликовано (изменено)

Добрый день.
Антивирусное ПО Касперский  Анти-вирус не может удалить троян Trojan.Win32.Yephiler
После лечения происходит перезагрузка и сообщение о трояне появляется снова.
Вторым сообщением попытаюсь приложить файл логов AVZ

CollectionLog-2024.04.09-15.14.zip

Изменено пользователем EvgeniyF
EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано

KVRT и CureIt запускал сегодня ранее, до обращения на форум, как можно вытащить их логи?

 

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Покажите скриншот обнаружения угрозы. Желательно чтоб было видно в каком файле.

 

Папку

Цитата

C:\KVRT2020_Data\reports

упакуйте в архив и прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Файл

Цитата

C:\Windows\System32\wire\wire.dll

сейчас присутствует в системе?

 

Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано

C:\Windows\System32\wire\wire.dll - тут файла и папки нет
C:\Windows\SysWOW64\wire\wire.dll - вот тут все есть (этот путь указан антивирусом)

Addition.txtFRST.txt

Sandor

Sandor

Опубликовано
Опубликовано
9 минут назад, EvgeniyF сказал:

вот тут все есть (этот путь указан антивирусом)

Это вы видите в антивирусе или через Проводник в папке?

EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано (изменено)

антивирус указывает файлы как угрозу
и в проводнике файлы вижу. 
image.thumb.png.8fc48be914a5a187e37fae88b1b7007a.png
 

Изменено пользователем EvgeniyF
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195127-1f33-11ee-89c7-bb7e8d84690e} - "F:\OInstall.exe" 
HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195bd2-1f33-11ee-89c7-bb7e8d84690e} - "H:\Autoplay.exe" -auto
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1408973536&from=cor&uid=KINGSTONXSVP200S360G_50026B7221044236","hxxp://rusearch.co"
S2 wire; C:\Windows\SysWOW64\wire\wire.exe [346360 2023-05-11] (WEILAI NETWORK TECHNOLOGY CO., LIMITED -> )
Folder: C:\Windows\SysWOW64\wire\
Folder: C:\Windows\System32\wire\
C:\Windows\SysWOW64\wire\
FirewallRules: [{D497C48B-D293-47C1-8075-FFAF9063AD4D}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано

сделал
Fixlog.txt

После перезагрузки антивирус включен и не ругается на вирус. 

Sandor

Sandor

Опубликовано
Опубликовано

Вы напрасно дважды выполнили скрипт, отчёт был перезаписан. Но не страшно.

 

Сделайте дополнительно проверку Malwarebytes.

Sandor

Sandor

Опубликовано
Опубликовано

Там выйдите из аккаунта и после полной очистки войдите.

Но пока здесь сделайте новые логи FRST.txt и Addition.txt, пожалуйста.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Николай PO
      Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие)
      Автор Николай PO
      Добрый день! Помогите пожалуйста. Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие).
      Данная проблема на двух ноутбуках:
      1.появились мелкие подлагивания в играх иногда в других программах;
      2.не устанавливается антивирус malwarebytes, при установки других антивирусов и запуске проверки появляется синий экран;
      3.инструмент smartfix не устанавливается полностью;
      4. переустановка операционной системы не помогла;
      5.установка на другой ssd не помогла;
      6. переустановка биос не помогла.
      Прикрепляю результаты сканирования в Farbar Recovery Scan ToolAddition.txtFRST.txt
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

×
×
  • Создать...