[РЕШЕНО] Trojan:PowerShell/Powdow.HNDD!MTB

[FedyaSochi]

Занес вирус по случайности/незнанию/тупости из телеграмм бота который записывает вообще все действия на устройстве и естественно его никак не удалить. Прошу помощи!

CollectionLog-2025.02.03-08.07.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[FedyaSochi]

После регистрации на dropbox через гугл аккаунт появился белый экран и всё, вкл/выкл впн, удалил куки сайта перезашел, тоже самое.

Скачал через другой браузер

 

DESKTOP-JFE2ANS_2025-02-03_13-12-14_v4.99.8v x64.7z

Изменено 3 февраля пользователем FedyaSochi

[safety]

51 минуту назад, FedyaSochi сказал:

После регистрации на dropbox

Там не надо регистрироваться, просто скачиваем файл по ссылке. образ сейчас гляну.

 

Добавьте дополнительно логи анализа системы при помощи Farbar Recovery Scan Tool

Изменено 3 февраля пользователем safety

[FedyaSochi]

Не увидел, что можно без регистрации. 
Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe 

[safety]

Цитата

Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe

 

  Можно и так и так. start.exe сам выбирает какой модуль запустить: для x64 или для x32.

Пока по образу не определилось, какой софт шпионит у вас. Добавьте еще логи FRST.

[FedyaSochi]

Это надо качать Farbar Recovery Scan Tool ? Просто не разбираюсь совсем в этом, только два назад узнал что такое командная строка 😬

 

Не знаю это или не это, поправьте если что

Addition.txt FRST.txt

[safety]

Это. там в пошаговой инструкции все просто. Скачал, запустил, ждешь пока завершится процесс. Собираешь нужные файлы логов или отчетов.

[safety]

Это странные задачи:

Task: {DE944A79-1485-4AE9-87B5-FF1863D147B7} - System32\Tasks\channelsignkc_v2 => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: {1EFDFB75-3169-4A6C-813F-399A782D5D1C} - System32\Tasks\managepatchZN => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: C:\WINDOWS\Tasks\channelsignkc_v2.job => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe

----------

В uVS это так отображается:

но детекта по этому файлу нет.

Что это может быть? При том, что ПО VMware не установлено на вашем ПК. А имя используется.

Цитата

Полное имя                  C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
Имя файла                   VMWARE.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                            
www.virustotal.com          2024-03-31 01:27 [2020-11-20]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
TASK.EXE                    (ССЫЛКА ~ .JOB)(1)   AND   (ЗНАЧЕНИЕ ~ .EXE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5FB4B738230000
Linker                      14.24
Размер                      2283736 байт
Создан                      28.01.2025 в 14:33:43
Изменен                     28.01.2025 в 11:29:00
                            
TimeStamp                   18.11.2020 в 05:55:04
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
SHA1                        948614806B70F18BB2453A9F6F43BEC8B53F1EBD
MD5                         0ACDDB99D77B20A7DA00D59B4FD44B93
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\CHANNELSIGNKC_V2.JOB
Значение                    C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\CHANNELSIGNKC_V2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MANAGEPATCHZN
Task                        \managepatchZN
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            02.02.2025 в 13:10:08
Код ошибки                  0x0 [Операция успешно завершена. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\
Task                        \channelsignkc_v2
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            03.02.2025 в 13:10:02
Код ошибки                  0x80070020 [Процесс не может получить доступ к файлу, так как этот файл занят другим процессом. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\
                            

 

Изменено 3 февраля пользователем safety

[FedyaSochi]

Это скорее всего оно и есть, судя по дате. Именно 28.01 в 14:34 было заражение

[safety]

Добавьте, пожалуйста, еще отчет по обнаружениям и сканированию из антивируса Касперского. (Осмотрим проблему со всех сторон, потом зачистим.)

[FedyaSochi]

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt

 

46 минут назад, FedyaSochi сказал:

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt 313.87 kB · 0 загрузок

Но процесс по прежнему на месте естественно

[safety]

по чистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
;---------command-block---------
ZOO %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA
CZOO
apply
restart

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив ZOO_дата_время*.7z

[FedyaSochi]

Готово

2025-02-03_17-16-23_log.txt ZOO_2025-02-03_17-16-22.7z

[safety]

Хорошо,

C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 2 из 3
Удалено файлов: 3 из 4

 

сделайте, пожалуйста, новые логи FRST для контроля очистки системы.