Перейти к содержанию
Правила раздела
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

[РЕШЕНО] Trojan:PowerShell/Powdow.HNDD!MTB

FedyaSochi

Автор FedyaSochi
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

FedyaSochi Новичок

FedyaSochi

Опубликовано
Опубликовано

Занес вирус по случайности/незнанию/тупости из телеграмм бота который записывает вообще все действия на устройстве и естественно его никак не удалить. Прошу помощи!

CollectionLog-2025.02.03-08.07.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано (изменено)

После регистрации на dropbox через гугл аккаунт появился белый экран и всё, вкл/выкл впн, удалил куки сайта перезашел, тоже самое.

Скачал через другой браузер

 

DESKTOP-JFE2ANS_2025-02-03_13-12-14_v4.99.8v x64.7z

Изменено пользователем FedyaSochi
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
51 минуту назад, FedyaSochi сказал:

После регистрации на dropbox

Там не надо регистрироваться, просто скачиваем файл по ссылке. образ сейчас гляну.

 

Добавьте дополнительно логи анализа системы при помощи Farbar Recovery Scan Tool

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Не увидел, что можно без регистрации. 
Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
Цитата

Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe

 

  Можно и так и так. start.exe сам выбирает какой модуль запустить: для x64 или для x32.

Пока по образу не определилось, какой софт шпионит у вас. Добавьте еще логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Это надо качать Farbar Recovery Scan Tool ? Просто не разбираюсь совсем в этом, только два назад узнал что такое командная строка 😬

 

Не знаю это или не это, поправьте если что

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Это. там в пошаговой инструкции все просто. Скачал, запустил, ждешь пока завершится процесс. Собираешь нужные файлы логов или отчетов.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Это странные задачи:

Task: {DE944A79-1485-4AE9-87B5-FF1863D147B7} - System32\Tasks\channelsignkc_v2 => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: {1EFDFB75-3169-4A6C-813F-399A782D5D1C} - System32\Tasks\managepatchZN => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: C:\WINDOWS\Tasks\channelsignkc_v2.job => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe

----------

В uVS это так отображается:

но детекта по этому файлу нет.

Что это может быть? При том, что ПО VMware не установлено на вашем ПК. А имя используется.

Цитата

Полное имя                  C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
Имя файла                   VMWARE.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                            
www.virustotal.com          2024-03-31 01:27 [2020-11-20]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
TASK.EXE                    (ССЫЛКА ~ .JOB)(1)   AND   (ЗНАЧЕНИЕ ~ .EXE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5FB4B738230000
Linker                      14.24
Размер                      2283736 байт
Создан                      28.01.2025 в 14:33:43
Изменен                     28.01.2025 в 11:29:00
                            
TimeStamp                   18.11.2020 в 05:55:04
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
SHA1                        948614806B70F18BB2453A9F6F43BEC8B53F1EBD
MD5                         0ACDDB99D77B20A7DA00D59B4FD44B93
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\CHANNELSIGNKC_V2.JOB
Значение                    C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\CHANNELSIGNKC_V2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MANAGEPATCHZN
Task                        \managepatchZN
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            02.02.2025 в 13:10:08
Код ошибки                  0x0 [Операция успешно завершена. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\
Task                        \channelsignkc_v2
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            03.02.2025 в 13:10:02
Код ошибки                  0x80070020 [Процесс не может получить доступ к файлу, так как этот файл занят другим процессом. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\
                            

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, еще отчет по обнаружениям и сканированию из антивируса Касперского. (Осмотрим проблему со всех сторон, потом зачистим.)

Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt

 

46 минут назад, FedyaSochi сказал:

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt 313.87 kB · 0 загрузок

Но процесс по прежнему на месте естественно

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

по чистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
;---------command-block---------
ZOO %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA
CZOO
apply
restart

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив ZOO_дата_время*.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Хорошо,

C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 2 из 3
Удалено файлов: 3 из 4

 

сделайте, пожалуйста, новые логи FRST для контроля очистки системы.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • wastezxc
      [РЕШЕНО] Словил майнер
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • m1pod
      Не работает поиск и пуск не могу решить.
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • dlitsov
      [РЕШЕНО] Майнер на компьютере
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      [РЕШЕНО] Майнер на компьютере
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
×
×
  • Создать...