[РЕШЕНО] Антивирусное ПО не может удалить троян Trojan.Win32.Yephiler

[EvgeniyF]

Добрый день.
Антивирусное ПО Касперский  Анти-вирус не может удалить троян Trojan.Win32.Yephiler
После лечения происходит перезагрузка и сообщение о трояне появляется снова.
Вторым сообщением попытаюсь приложить файл логов AVZ

CollectionLog-2024.04.09-15.14.zip

Изменено 9 апреля, 2024 пользователем EvgeniyF

[EvgeniyF]

KVRT и CureIt запускал сегодня ранее, до обращения на форум, как можно вытащить их логи?

 

[Sandor]

Здравствуйте!

 

Покажите скриншот обнаружения угрозы. Желательно чтоб было видно в каком файле.

 

Папку

Цитата

C:\KVRT2020_Data\reports

упакуйте в архив и прикрепите к следующему сообщению.

[EvgeniyF]

KVRT_Reports.zip

скриншот антивируса

Изменено 9 апреля, 2024 пользователем EvgeniyF

[Sandor]

Файл

Цитата

C:\Windows\System32\wire\wire.dll

сейчас присутствует в системе?

 

Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[EvgeniyF]

C:\Windows\System32\wire\wire.dll - тут файла и папки нет
C:\Windows\SysWOW64\wire\wire.dll - вот тут все есть (этот путь указан антивирусом)

Addition.txtFRST.txt

[Sandor]

9 минут назад, EvgeniyF сказал:

вот тут все есть (этот путь указан антивирусом)

Это вы видите в антивирусе или через Проводник в папке?

[EvgeniyF]

антивирус указывает файлы как угрозу
и в проводнике файлы вижу. 

 

Изменено 9 апреля, 2024 пользователем EvgeniyF

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195127-1f33-11ee-89c7-bb7e8d84690e} - "F:\OInstall.exe" 
  HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195bd2-1f33-11ee-89c7-bb7e8d84690e} - "H:\Autoplay.exe" -auto
  IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
  IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1408973536&from=cor&uid=KINGSTONXSVP200S360G_50026B7221044236","hxxp://rusearch.co"
  S2 wire; C:\Windows\SysWOW64\wire\wire.exe [346360 2023-05-11] (WEILAI NETWORK TECHNOLOGY CO., LIMITED -> )
  Folder: C:\Windows\SysWOW64\wire\
  Folder: C:\Windows\System32\wire\
  C:\Windows\SysWOW64\wire\
  FirewallRules: [{D497C48B-D293-47C1-8075-FFAF9063AD4D}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[EvgeniyF]

сделал
Fixlog.txt

После перезагрузки антивирус включен и не ругается на вирус. 

[Sandor]

Вы напрасно дважды выполнили скрипт, отчёт был перезаписан. Но не страшно.

 

Сделайте дополнительно проверку Malwarebytes.

[EvgeniyF]

первый раз не от имени администратора запустил программу

логMalwarebytes Отчет о проверке 2024-04-09 135826.txt
 

[Sandor]

Всё найденное удалите (поместите в карантин).

После этого сделайте сброс настроек браузера Chrome, а затем покажите новый лог сканирования Malwarebytes.

[EvgeniyF]

Сделал.

Malwarebytes Отчет о проверке 2024-04-10 065159.txt

Скажите а со смартфоном, где используется этот аккаунт гуггл хрома как поступить?
 

[Sandor]

Там выйдите из аккаунта и после полной очистки войдите.

Но пока здесь сделайте новые логи FRST.txt и Addition.txt, пожалуйста.