Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan:PowerShell/Powdow.HNDD!MTB

FedyaSochi

Автор FedyaSochi
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

FedyaSochi

FedyaSochi

Опубликовано
Опубликовано

Занес вирус по случайности/незнанию/тупости из телеграмм бота который записывает вообще все действия на устройстве и естественно его никак не удалить. Прошу помощи!

CollectionLog-2025.02.03-08.07.zip

safety

safety

Опубликовано
Опубликовано

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

FedyaSochi

FedyaSochi

Опубликовано
  • Автор
Опубликовано (изменено)

После регистрации на dropbox через гугл аккаунт появился белый экран и всё, вкл/выкл впн, удалил куки сайта перезашел, тоже самое.

Скачал через другой браузер

 

DESKTOP-JFE2ANS_2025-02-03_13-12-14_v4.99.8v x64.7z

Изменено пользователем FedyaSochi
safety

safety

Опубликовано
Опубликовано (изменено)
51 минуту назад, FedyaSochi сказал:

После регистрации на dropbox

Там не надо регистрироваться, просто скачиваем файл по ссылке. образ сейчас гляну.

 

Добавьте дополнительно логи анализа системы при помощи Farbar Recovery Scan Tool

Изменено пользователем safety
FedyaSochi

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Не увидел, что можно без регистрации. 
Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe 

safety

safety

Опубликовано
Опубликовано
Цитата

Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe

 

  Можно и так и так. start.exe сам выбирает какой модуль запустить: для x64 или для x32.

Пока по образу не определилось, какой софт шпионит у вас. Добавьте еще логи FRST.

FedyaSochi

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Это надо качать Farbar Recovery Scan Tool ? Просто не разбираюсь совсем в этом, только два назад узнал что такое командная строка 😬

 

Не знаю это или не это, поправьте если что

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано

Это. там в пошаговой инструкции все просто. Скачал, запустил, ждешь пока завершится процесс. Собираешь нужные файлы логов или отчетов.

safety

safety

Опубликовано
Опубликовано (изменено)

Это странные задачи:

Task: {DE944A79-1485-4AE9-87B5-FF1863D147B7} - System32\Tasks\channelsignkc_v2 => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: {1EFDFB75-3169-4A6C-813F-399A782D5D1C} - System32\Tasks\managepatchZN => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: C:\WINDOWS\Tasks\channelsignkc_v2.job => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe

----------

В uVS это так отображается:

но детекта по этому файлу нет.

Что это может быть? При том, что ПО VMware не установлено на вашем ПК. А имя используется.

Цитата

Полное имя                  C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
Имя файла                   VMWARE.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                            
www.virustotal.com          2024-03-31 01:27 [2020-11-20]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
TASK.EXE                    (ССЫЛКА ~ .JOB)(1)   AND   (ЗНАЧЕНИЕ ~ .EXE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5FB4B738230000
Linker                      14.24
Размер                      2283736 байт
Создан                      28.01.2025 в 14:33:43
Изменен                     28.01.2025 в 11:29:00
                            
TimeStamp                   18.11.2020 в 05:55:04
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
SHA1                        948614806B70F18BB2453A9F6F43BEC8B53F1EBD
MD5                         0ACDDB99D77B20A7DA00D59B4FD44B93
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\CHANNELSIGNKC_V2.JOB
Значение                    C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\CHANNELSIGNKC_V2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MANAGEPATCHZN
Task                        \managepatchZN
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            02.02.2025 в 13:10:08
Код ошибки                  0x0 [Операция успешно завершена. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\
Task                        \channelsignkc_v2
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            03.02.2025 в 13:10:02
Код ошибки                  0x80070020 [Процесс не может получить доступ к файлу, так как этот файл занят другим процессом. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\
                            

 

Изменено пользователем safety
FedyaSochi

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Это скорее всего оно и есть, судя по дате. Именно 28.01 в 14:34 было заражение

safety

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, еще отчет по обнаружениям и сканированию из антивируса Касперского. (Осмотрим проблему со всех сторон, потом зачистим.)

FedyaSochi

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt

 

46 минут назад, FedyaSochi сказал:

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt 313.87 kB · 0 загрузок

Но процесс по прежнему на месте естественно

safety

safety

Опубликовано
Опубликовано

по чистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
;---------command-block---------
ZOO %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA
CZOO
apply
restart

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив ZOO_дата_время*.7z

safety

safety

Опубликовано
Опубликовано

Хорошо,

C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 2 из 3
Удалено файлов: 3 из 4

 

сделайте, пожалуйста, новые логи FRST для контроля очистки системы.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • bl1nchik2287
      Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • Николай PO
      Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие)
      Автор Николай PO
      Добрый день! Помогите пожалуйста. Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие).
      Данная проблема на двух ноутбуках:
      1.появились мелкие подлагивания в играх иногда в других программах;
      2.не устанавливается антивирус malwarebytes, при установки других антивирусов и запуске проверки появляется синий экран;
      3.инструмент smartfix не устанавливается полностью;
      4. переустановка операционной системы не помогла;
      5.установка на другой ssd не помогла;
      6. переустановка биос не помогла.
      Прикрепляю результаты сканирования в Farbar Recovery Scan ToolAddition.txtFRST.txt
    • DEFFlorator
      Поймал друг на моем ноуте вирус CAAServises (он же под именем SQL Servises). Он постоянно висит в автозагрузках, при удалении появляется вновь. Сторонними прогами, Virus Total'ом удалить также не получилось.
      Автор DEFFlorator
      Обнаружил данный вирус, так как при подключении к Инету сильно нагружается и греется ЦП. Использование почти всегда 100 %, частоты выше 3,5 ГГц при штатной 2,3 ГГц. После поисков ответов в инете обнаружил связанный с вирусом файл explorer.exe, в разделе "Безопасность" которого имеется некий админ. Изменение разрешений невозможно (требуется разрешение этого самого левого админа), при удалении сразу появляется вновь.
      Сам вирус находится в папке Program Files.



      CollectionLog-2026.01.09-13.55.zip

×
×
  • Создать...