Перейти к содержанию
Правила раздела

[РЕШЕНО] Антивирусное ПО не может удалить троян Trojan.Win32.Yephiler

EvgeniyF

Автор EvgeniyF
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

EvgeniyF

EvgeniyF

Опубликовано
Опубликовано (изменено)

Добрый день.
Антивирусное ПО Касперский  Анти-вирус не может удалить троян Trojan.Win32.Yephiler
После лечения происходит перезагрузка и сообщение о трояне появляется снова.
Вторым сообщением попытаюсь приложить файл логов AVZ

CollectionLog-2024.04.09-15.14.zip

Изменено пользователем EvgeniyF
EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано

KVRT и CureIt запускал сегодня ранее, до обращения на форум, как можно вытащить их логи?

 

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Покажите скриншот обнаружения угрозы. Желательно чтоб было видно в каком файле.

 

Папку

Цитата

C:\KVRT2020_Data\reports

упакуйте в архив и прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Файл

Цитата

C:\Windows\System32\wire\wire.dll

сейчас присутствует в системе?

 

Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано

C:\Windows\System32\wire\wire.dll - тут файла и папки нет
C:\Windows\SysWOW64\wire\wire.dll - вот тут все есть (этот путь указан антивирусом)

Addition.txtFRST.txt

Sandor

Sandor

Опубликовано
Опубликовано
9 минут назад, EvgeniyF сказал:

вот тут все есть (этот путь указан антивирусом)

Это вы видите в антивирусе или через Проводник в папке?

EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано (изменено)

антивирус указывает файлы как угрозу
и в проводнике файлы вижу. 
image.thumb.png.8fc48be914a5a187e37fae88b1b7007a.png
 

Изменено пользователем EvgeniyF
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195127-1f33-11ee-89c7-bb7e8d84690e} - "F:\OInstall.exe" 
HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195bd2-1f33-11ee-89c7-bb7e8d84690e} - "H:\Autoplay.exe" -auto
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1408973536&from=cor&uid=KINGSTONXSVP200S360G_50026B7221044236","hxxp://rusearch.co"
S2 wire; C:\Windows\SysWOW64\wire\wire.exe [346360 2023-05-11] (WEILAI NETWORK TECHNOLOGY CO., LIMITED -> )
Folder: C:\Windows\SysWOW64\wire\
Folder: C:\Windows\System32\wire\
C:\Windows\SysWOW64\wire\
FirewallRules: [{D497C48B-D293-47C1-8075-FFAF9063AD4D}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

EvgeniyF

EvgeniyF

Опубликовано
  • Автор
Опубликовано

сделал
Fixlog.txt

После перезагрузки антивирус включен и не ругается на вирус. 

Sandor

Sandor

Опубликовано
Опубликовано

Вы напрасно дважды выполнили скрипт, отчёт был перезаписан. Но не страшно.

 

Сделайте дополнительно проверку Malwarebytes.

Sandor

Sandor

Опубликовано
Опубликовано

Там выйдите из аккаунта и после полной очистки войдите.

Но пока здесь сделайте новые логи FRST.txt и Addition.txt, пожалуйста.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • clobase
      trojan.packed2.45303 vulkaninfo
      Автор clobase
      Др веб нашел троян в файлах vulkaninfo, но при попытки лечения выдает ошибку.
    • Otola
      Vulkan
      Автор Otola
      Аналогично сегодня ругается на вулкан. И не лечит его, и не перемещает.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Secret21
      Vulkaninfo.exe
      Автор Secret21
      Здравствуйте. Решил сделать плановую проверку пк через утилику dr web curelt и вот что он мне нашел, прочитав о подобном в интернете я нашел информацию что это могут быть ложные срабатывания.
      Использовал последнюю версию на момент 7 февраля.
      P.S после обновления драйвера nvidia этих "троянов" стало 8 вместо прошлых 6.

       
      CollectionLog-2026.02.07-04.56.zip
×
×
  • Создать...