Перейти к содержанию

[РЕШЕНО] Антивирусное ПО не может удалить троян Trojan.Win32.Yephiler


Рекомендуемые сообщения

Добрый день.
Антивирусное ПО Касперский  Анти-вирус не может удалить троян Trojan.Win32.Yephiler
После лечения происходит перезагрузка и сообщение о трояне появляется снова.
Вторым сообщением попытаюсь приложить файл логов AVZ

CollectionLog-2024.04.09-15.14.zip

Изменено пользователем EvgeniyF
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Покажите скриншот обнаружения угрозы. Желательно чтоб было видно в каком файле.

 

Папку

Цитата

C:\KVRT2020_Data\reports

упакуйте в архив и прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Файл

Цитата

C:\Windows\System32\wire\wire.dll

сейчас присутствует в системе?

 

Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, EvgeniyF сказал:

вот тут все есть (этот путь указан антивирусом)

Это вы видите в антивирусе или через Проводник в папке?

Ссылка на сообщение
Поделиться на другие сайты

антивирус указывает файлы как угрозу
и в проводнике файлы вижу. 
image.thumb.png.8fc48be914a5a187e37fae88b1b7007a.png
 

Изменено пользователем EvgeniyF
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195127-1f33-11ee-89c7-bb7e8d84690e} - "F:\OInstall.exe" 
    HKU\S-1-5-21-1964762372-1547494417-1309388749-1001\...\MountPoints2: {e4195bd2-1f33-11ee-89c7-bb7e8d84690e} - "H:\Autoplay.exe" -auto
    IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
    IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1408973536&from=cor&uid=KINGSTONXSVP200S360G_50026B7221044236","hxxp://rusearch.co"
    S2 wire; C:\Windows\SysWOW64\wire\wire.exe [346360 2023-05-11] (WEILAI NETWORK TECHNOLOGY CO., LIMITED -> )
    Folder: C:\Windows\SysWOW64\wire\
    Folder: C:\Windows\System32\wire\
    C:\Windows\SysWOW64\wire\
    FirewallRules: [{D497C48B-D293-47C1-8075-FFAF9063AD4D}] => (Allow) LPort=1688
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Вы напрасно дважды выполнили скрипт, отчёт был перезаписан. Но не страшно.

 

Сделайте дополнительно проверку Malwarebytes.

Ссылка на сообщение
Поделиться на другие сайты

Всё найденное удалите (поместите в карантин).

После этого сделайте сброс настроек браузера Chrome, а затем покажите новый лог сканирования Malwarebytes.

Ссылка на сообщение
Поделиться на другие сайты

Там выйдите из аккаунта и после полной очистки войдите.

Но пока здесь сделайте новые логи FRST.txt и Addition.txt, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Auyr
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
    • DanM
      От DanM
      Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
      Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.
      logs.zip
    • aronone
      От aronone
      Здравствуйте, заметил нагрузку на процессор, проверил куррейтом нашел NET:MALWARE.URL и Trojan.PWS.Banker. , вылечить не получилось, но после перезагрузки куррейт перестал находить вирусы, хотел бы почистить комп полностью
      CollectionLog-2024.04.23-09.35.zip cureit.rar
    • hyacins
      От hyacins
      Здравствуйте! При попытке скачать эксель (видимо, первая ссылка в браузере меня оказалась с подвохом) получила троян со страшным длинным названием. Касперский его обнаружил и предложил удалить, на что я согласилась. Но после он начал присылать мне, что обнаружил и запретил приложение WmiPrvSE.exe. Я провела полную проверку, угроз не обнаружено, но во время неё Касперский каждые 5 минут присылал одно и то же уведомление с обнаружением и запрещением того самого приложения и продолжает до сих пор. Скажите, что делать, пожалуйста..
      CollectionLog-2024.04.22-02.39.zip
    • ApploDi
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
×
×
  • Создать...