Перейти к содержанию
Правила раздела

Trojan:PowerShell/Powdow.HNDD!MTB

FedyaSochi

От FedyaSochi
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

FedyaSochi Новичок

FedyaSochi

Опубликовано
Опубликовано

Занес вирус по случайности/незнанию/тупости из телеграмм бота который записывает вообще все действия на устройстве и естественно его никак не удалить. Прошу помощи!

CollectionLog-2025.02.03-08.07.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано (изменено)

После регистрации на dropbox через гугл аккаунт появился белый экран и всё, вкл/выкл впн, удалил куки сайта перезашел, тоже самое.

Скачал через другой браузер

 

DESKTOP-JFE2ANS_2025-02-03_13-12-14_v4.99.8v x64.7z

Изменено пользователем FedyaSochi
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
51 минуту назад, FedyaSochi сказал:

После регистрации на dropbox

Там не надо регистрироваться, просто скачиваем файл по ссылке. образ сейчас гляну.

 

Добавьте дополнительно логи анализа системы при помощи Farbar Recovery Scan Tool

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Не увидел, что можно без регистрации. 
Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
Цитата

Там ещё файл запустил сначала не тот а этот start_x64.exe и проделал всё перечисленное, потом уже запустил Start.exe

 

  Можно и так и так. start.exe сам выбирает какой модуль запустить: для x64 или для x32.

Пока по образу не определилось, какой софт шпионит у вас. Добавьте еще логи FRST.

Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Это надо качать Farbar Recovery Scan Tool ? Просто не разбираюсь совсем в этом, только два назад узнал что такое командная строка 😬

 

Не знаю это или не это, поправьте если что

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Это. там в пошаговой инструкции все просто. Скачал, запустил, ждешь пока завершится процесс. Собираешь нужные файлы логов или отчетов.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Это странные задачи:

Task: {DE944A79-1485-4AE9-87B5-FF1863D147B7} - System32\Tasks\channelsignkc_v2 => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: {1EFDFB75-3169-4A6C-813F-399A782D5D1C} - System32\Tasks\managepatchZN => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe [2283736 2025-01-28] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ

 

Task: C:\WINDOWS\Tasks\channelsignkc_v2.job => C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe

----------

В uVS это так отображается:

но детекта по этому файлу нет.

Что это может быть? При том, что ПО VMware не установлено на вашем ПК. А имя используется.

Цитата

Полное имя                  C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
Имя файла                   VMWARE.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                            
www.virustotal.com          2024-03-31 01:27 [2020-11-20]
-                           Файл был чист на момент проверки.
                            
Удовлетворяет критериям     
TASK.EXE                    (ССЫЛКА ~ .JOB)(1)   AND   (ЗНАЧЕНИЕ ~ .EXE)(1) [auto (0)]
                            
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5FB4B738230000
Linker                      14.24
Размер                      2283736 байт
Создан                      28.01.2025 в 14:33:43
Изменен                     28.01.2025 в 11:29:00
                            
TimeStamp                   18.11.2020 в 05:55:04
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
                            
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                            
Доп. информация             на момент обновления списка
SHA1                        948614806B70F18BB2453A9F6F43BEC8B53F1EBD
MD5                         0ACDDB99D77B20A7DA00D59B4FD44B93
                            
Ссылки на объект            
Ссылка                      C:\WINDOWS\TASKS\CHANNELSIGNKC_V2.JOB
Значение                    C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\CHANNELSIGNKC_V2
                            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MANAGEPATCHZN
Task                        \managepatchZN
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            02.02.2025 в 13:10:08
Код ошибки                  0x0 [Операция успешно завершена. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{1EFDFB75-3169-4A6C-813F-399A782D5D1C}\
Task                        \channelsignkc_v2
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\Actions
Actions                     "C:\Users\Пользователь\AppData\Roaming\BrowserUninstall_alpha\vmware.exe"
Задача создана              28.01.2025 в 14:34:05
Последний запуск            03.02.2025 в 13:10:02
Код ошибки                  0x80070020 [Процесс не может получить доступ к файлу, так как этот файл занят другим процессом. ]
                            
Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DE944A79-1485-4AE9-87B5-FF1863D147B7}\
                            

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, еще отчет по обнаружениям и сканированию из антивируса Касперского. (Осмотрим проблему со всех сторон, потом зачистим.)

Ссылка на комментарий
Поделиться на другие сайты
FedyaSochi Новичок

FedyaSochi

Опубликовано
  • Автор
Опубликовано

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt

 

46 минут назад, FedyaSochi сказал:

Просканировал. Найдено и удалено какие-то 3 объекта

kaspersky.txt 313.87 kB · 0 загрузок

Но процесс по прежнему на месте естественно

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

по чистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
;---------command-block---------
ZOO %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA
CZOO
apply
restart

После завершения работы скрипта:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив ZOO_дата_время*.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Хорошо,

C:\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\BROWSERUNINSTALL_ALPHA\VMWARE.EXE будет удален после перезагрузки
--------------------------------------------------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 2 из 3
Удалено файлов: 3 из 4

 

сделайте, пожалуйста, новые логи FRST для контроля очистки системы.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Barrrin
      Microsoft Defender обнаружил Trojan:JS/FakeUpdate.HNAP!MTB
      От Barrrin
      CollectionLog-2024.12.28-23.13.zip не знаю что еще описать, просто встроенный антивирус майкрософта нашел троян.
    • cringemachine
      Trojan:Win64/Reflo.HNS!MTB
      От cringemachine
      Добрый день
       
      Не удается удалить зловред Trojan:Win64/Reflo.HNS!MTB.
      После удаления/лечения Защитником с последующей очисткой Исключений, зловред почти сразу появляется и создает исключения. 
       
      Ай нид хелп
    • Bandersnatch
      Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB
      От Bandersnatch
      Здравствуйте. На рабочем компе случилась печаль беда. Я так подозреваю, что вирус попал через RDP. Зашифровались как файлы офиса, так и файлы базы 1С. Ломанули админскую учетку, отрубили защиту и сделали все эти непотребства. Антивирусом были определены: Ransom:Win64/Akira.CCDR!MTB, Ransom:Win32/Conti.AD!MTB, Trojan:Win32/Tiggre!rfn. 
      Addition.txt Desktop.rar FRST.txt
    • Shkine
      [РЕШЕНО] Trojan:Win32/Malgent!MTB
      От Shkine
      Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.


      Addition.txt FRST.txt
    • Barrrin
      Ошибка Trojan:Win64/Reflo.HNS!MTB и выдача ошибок оперативной памяти
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
×
×
  • Создать...