Перейти к содержанию
Правила раздела

appData\Roaming\$phantom-SCV.cmd

АстрамовичКА

От АстрамовичКА
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

АстрамовичКА Новичок

АстрамовичКА

Опубликовано
Опубликовано

При запуске ПК вижу открытое cmd (секунд 10 примерно) в нем вижу некий текст. скриншоты экрана прилагаю. После установки касперского вирус , как я полагаю прячется, поскольку видит касперский, лечение не помогает. spacer.pngspacer.pngspacer.pngspacer.pngspacer.png

Ссылка на комментарий
Поделиться на другие сайты
АстрамовичКА Новичок

АстрамовичКА

Опубликовано
  • Автор
Опубликовано

CollectionLog-2024.07.12-18.49.zip

AutoLogger

 

 

вот еще нашел стать по вирусу, тоже не могут удалить. https://techolay.net/sosyal/konu/windows-10-acilista-phantom-svc-cmd-acilip-10-saniye-bir-seyler-yazilip-kapaniyor.37887/
Я конечно может немного наивный, но все же расчитываю на вашу заинтересованность в изучении вируса. Сам я могу легко переустановить систему и воспользоваться низкоуровневым форматированием.

 

  • Улыбнуло 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('WinSetupMon');
 QuarantineFile('C:\Users\Kirill\AppData\Roaming\$phantom-SCV.cmd','');
 DeleteSchedulerTask('OneNote startup_str');
 DeleteFile('C:\Users\Kirill\AppData\Roaming\$phantom-SCV.cmd','64');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\WinSetupMon.sys','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
АстрамовичКА Новичок

АстрамовичКА

Опубликовано
  • Автор
Опубликовано
16 часов назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 



begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('WinSetupMon');
 QuarantineFile('C:\Users\Kirill\AppData\Roaming\$phantom-SCV.cmd','');
 DeleteSchedulerTask('OneNote startup_str');
 DeleteFile('C:\Users\Kirill\AppData\Roaming\$phantom-SCV.cmd','64');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\WinSetupMon.sys','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 



begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

 

quarantine.7z

вчера вечером, часов с 11 по аналогии с предложенным, нашел в appdata, увидел phantom-SCV.cmd.exe , удалил ручками через shift-del

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
21 час назад, АстрамовичКА сказал:

Я конечно может немного наивный, но все же расчитываю на вашу заинтересованность в изучении вируса

к чему тогда эти слова, если Вы бездумно удалили все вручную???

 

При обращении в данный раздел принято выполнять то, что Вам пишут, а не заниматьс самодеятельностью.

 

Проблема решена?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...