Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск  
 
 
Рейтинг 4.95/55: Рейтинг темы: голосов - 55, средняя оценка - 4.95
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78

Trojan:Win32/Powemet.A!attk и не только

26.06.2022, 13:15. Показов 13407. Ответов 135
Метки нет (Все метки)

Студворк — интернет-сервис помощи студентам
Здравствуйте, Windows Defender второй день по несколько раз блокирует угрозу Trojan:Win32/Powemet.A!attk, а так же пару раз были другие трояны, но не успел зафиксировать.
SpyHunter 5 нашёл вроде, но нужно ждать 48 часов. Dr Web CureIt не нашёл ничего.
Вложения
Тип файла: zip CollectionLog-2022.06.26-13.10.zip (134.6 Кб, 51 просмотров)
0
Лучшие ответы (1)
Programming
Эксперт
39485 / 9562 / 3019
Регистрация: 12.04.2006
Сообщений: 41,671
Блог
26.06.2022, 13:15
Ответы с готовыми решениями:

Trojan:Win32/Powemet.A!attk
Приветствую. Столкнулся со следующим вирусом - Trojan:Win32/Powemet.A!attk. Оказывается, уже чуть меньше месяца гуляет по системе, но...

Trojan:Win32/Powemet.A!attk
Добрый день. Добрый день. Помогите, пожалуйста, решить проблему. Антивирусник находит вирус Behavior:Win32/Powemet.B!attk....

Trojan:Win32/Powemet.A!attk
Добрый день. Защитник Windows блокирует каждый день вирус Trojan:Win32/Powemet.A!attk. Прошу помощи.

135
Вирусоборец
Вирусоборец
 Аватар для SQx
157 / 151 / 28
Регистрация: 12.01.2017
Сообщений: 685
20.07.2022, 05:37
Студворк — интернет-сервис помощи студентам
Здравствуйте,

Согласно данным лаборатории Касперского, должно детектироваться.
Уточните пожалуйста если базы обновлены после 15-го июля?

ЛК запрашивает также следующее:
===========================
В powershell с правами администратора и выполните пожалуйста команду:
Code
1
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer > C:\wmidump.txt
И эту, аналогичную, для верности в командной строке (cmd.exe):
Code
1
wmic /NAMESPACE:"\\root\subscription" PATH __EventConsumer > C:\wmidump2.txt
Предоставьте полученные файлы в следующем сообщение, предвариельно заархивировав в zip.
Code
1
2
C:\wmidump.txt
C:\wmidump2.txt
Спасибо.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78
20.07.2022, 10:01  [ТС]
Вот файлы. Сейчас поставлю трассировку и проведу ещё раз полную проверку. Использую 30-дневную лицензию. Базы каждый день обновляются.

Ещё такой вопрос. "Для веб-страниц нам также необходим .MHT архив страницы (в браузере Internet Explorer его можно получить, воспользовавшись пунктом "Сохранить как" контекстного меню)."

Не совсем понял, что тут нужно. Но я не думаю что дело в браузере, оно и без интернета срабатывает
Вложения
Тип файла: zip wmidump.zip (1.0 Кб, 12 просмотров)
0
Вирусоборец
Вирусоборец
 Аватар для SQx
157 / 151 / 28
Регистрация: 12.01.2017
Сообщений: 685
20.07.2022, 13:17
Здравствуйте,

Касаемо .MHT, к сожалению не смогу подсказать.

Просьба от ЛК:
==================
Могли бы пожауйста также на время исследования переименовать (чтобы не запускался службой) античит для pubg:
Code
1
c:\program files\common files\pubg\zksvc.exe
Связи с малварой не нашел, но на всякий случай.
==================
0
Вирусоборец
Вирусоборец
 Аватар для SQx
157 / 151 / 28
Регистрация: 12.01.2017
Сообщений: 685
22.07.2022, 19:25
Здравствуйте,

Отправьте, пожалуйста, скриншоты дефендера с детектированиями.

P.S. Есть подозрение, что Защитник( Дефендер) реагирует на угрозу в карантине.

Спасибо.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78
22.07.2022, 20:55  [ТС]
Вот, пожалуйста
Миниатюры
Trojan:Win32/Powemet.A!attk и не только  
0
Вирусоборец
Вирусоборец
 Аватар для SQx
157 / 151 / 28
Регистрация: 12.01.2017
Сообщений: 685
23.07.2022, 21:22
Здравствуйе,

Давайте попробуем собрать необходимую информацию которая запросила ЛК, подробности я вам отправил в лс.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Code
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    
    Start::
    CreateRestorePoint:
    Folder: C:\Programdata\WindowsTask
    Folder: C:\Programdata\RealtekHD
    Folder: C:\Programdata\RunDLL
    Folder: C:\Programdata\setup
    Folder: C:\Programdata\install
    Folder: C:\Programdata\w1
    Folder: C:\ProgramData\Windows Tasks Service
    Folder: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet
    Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System"
    Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths"
    CMD: dir /a:h C:\ProgramData
    CMD: dir /a:s C:\ProgramData
    CMD: ipconfig /flushdns
    CMD: nslookup google.com
    CMD: type "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    startpowershell:
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    endpowershell:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер возможно будет перезагружен.

Если это не поможет, то возможно необходимо будет почистить кэш и историю дефендера.
3
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78
23.07.2022, 22:44  [ТС]
Здравствуйте, я так понял нужно только FRST сделать, вот фикслоги. Ещё, насчёт процессов cmd и powershell. Может их не получается отловить, потому что они срабатывают только в самом начале, при включении компьютера? А когда уже всякие сканы и тд, нет их.
Вложения
Тип файла: txt Fixlog.txt (7.2 Кб, 19 просмотров)
0
Вирусоборец
 Аватар для thyrex
14456 / 7495 / 1583
Регистрация: 06.09.2009
Сообщений: 27,143
23.07.2022, 23:54
Лучший ответ Сообщение было отмечено Joramormont как решение

Решение

Интересное дело получается. Как давно Вы обновляли систему с Windows 10 на Windows 11? Похоже, что уже 2021-12-19 20:47 у Вас были задачи от майнера.

Упакуйте папку C:\Windows\System32\Tasks_Migrated\Micro soft\Windows\Wininet и пришлите архив. После этого папку удалите, перезагрузите компьютер.

Сообщите, как ведет себя Защитник после перезагрузки.
1
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78
24.07.2022, 00:05  [ТС]
А вот как раз 19.12.2021 и перешел с 10 на 11
Вложения
Тип файла: zip Wininet.zip (4.4 Кб, 21 просмотров)
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78
24.07.2022, 00:10  [ТС]
После удаления папки, больше не детектит. Если завтра что появится, я отпишу. Всем огромное спасибо!!!
А теперь вопрос - что это было и как в будущем этого избежать?
0
Вирусоборец
 Аватар для thyrex
14456 / 7495 / 1583
Регистрация: 06.09.2009
Сообщений: 27,143
24.07.2022, 00:27
На старой системе жил майнер, который создал свои задачи в Планировщике. Майнер каким-то образом был удален еще на прежней системе, а задачи от него остались. Но при апгрейде системы они корректно не перенеслись, потому и появилась папка Tasks_Migrated. Почему Защитник начал на них реагировать спустя полгода так и остается тайной )
2
Эксперт WindowsАвтор FAQ
 Аватар для Dragokas
18035 / 7738 / 892
Регистрация: 25.12.2011
Сообщений: 11,502
Записей в блоге: 16
24.07.2022, 18:25
Joramormont, давайте посмотрим, не осталось ли хвостов в реестре от этих заданий.

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.
  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода:
    Code
    1
    
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule
  • Отметьте опцию Export keys.
  • Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

Затем:
  • Ещё раз запустите утилиту MiniRegTool
  • Скопируйте и вставьте следующий текст в поле ввода:
    Code
    1
    
    RealtekHDStartUP
  • Отметьте опцию Search .
  • Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78
24.07.2022, 23:16  [ТС]
Вот
Вложения
Тип файла: zip Result1.zip (129.7 Кб, 11 просмотров)
1
Вирусоборец
 Аватар для Sandor
22540 / 15976 / 3100
Регистрация: 08.10.2012
Сообщений: 65,092
27.07.2022, 08:46
Joramormont, спасибо и вам за терпение и чёткое выполнение инструкций! Это позволило нам обновить и улучшить наши инструменты.

Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 78
28.07.2022, 17:45  [ТС]
Вот, не было возможности сесть за компьютер вчера
Вложения
Тип файла: txt SecurityCheck.txt (11.1 Кб, 3 просмотров)
0
Вирусоборец
 Аватар для Sandor
22540 / 15976 / 3100
Регистрация: 08.10.2012
Сообщений: 65,092
29.07.2022, 08:16
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления
Node.js v.18.4.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft SQL Server 2012 Express LocalDB v.11.0.2318.0 Данная программа больше не поддерживается разработчиком.
Python 3.9.2 (64-bit) v.3.9.2150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.00 (x64) v.22.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.11.1 (6602) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.2.8 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe)^


По возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО

Удачи!
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
inter-admin
Эксперт
29715 / 6470 / 2152
Регистрация: 06.03.2009
Сообщений: 28,500
Блог
29.07.2022, 08:16

Trojan:Win32/Powemet.A!attk
Добрый день, Windows Defender ежедневно по несколько раз блокирует угрозу Trojan:Win32/Powemet.A!attk, как её искоренить? Только что...

Trojan:Win32/Powemet.A!attk
Добрый вечер. Здравствуйте , помогите пожалуйста с удалением Trojan:Win32/Powemet.A!attk , защитник виндоус давно нашёл его , но...

Trojan:Win32/Powemet.A!attk Выдает Defender Win10
Дефендер раз в пару часов блокирует активность с указанием трояна иногда имя трояна меняется на Trojan:Win32/Squibda.A Подскажите,...

Вирус Behavior:Win32/Powemet.B!attk
Добрый день. Помогите, пожалуйста, решить проблему. Антивирусник находит вирус Behavior:Win32/Powemet.B!attk. Периодически пытается его...

Удаление троянов Trojan:Win32/CommandAndControl!rfn и Trojan:Win32/Occamy.C80
Здравствуйте! К сожалению, поймал пару троянов,хотя может их и более, но FRST64.exe показывает только два. Еще один троян выскакивает при...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
136
Ответ Создать тему
Новые блоги и статьи
сукцессия 33. открытые вопросы от клауде
anaschu 19.07.2026
"Что накопилось за эту часть А — тринадцать правок, из которых шесть пришли из ваших вопросов и каждая оказалась реальной ошибкой, а не калибровкой: односторонний симбиоз, отсутствующий листопад,. . .
32 сукцессия
anaschu 19.07.2026
сукцессия 28‑мерное ядро стабилизировано Коллеги, фиксирую разбор инженерных правок и их изоморфную проекцию на экономику, меметику и половой отбор. Модель теперь не «подкручивает» сходимость —. . .
сукцессия 31: модель микоризы - это модель ещё нескольких явлений, социальных и экономических
anaschu 18.07.2026
Теория «Всего»: апдейт v1. 1. 2 — 28‑мерное ядро стабилизировано Коллеги, фиксирую разбор инженерных правок и их изоморфную проекцию на экономику, меметику и половой отбор. Модель теперь не. . .
сукцессия 30. Массив проверяющих друг друга моделей
anaschu 18.07.2026
Архитектура сети взаимопроверяющих моделей микоризной сукцессии (v2. 0) Развитие тензорного ОДУ-ядра и создание кросс-платформенного калибровочного полигона Уважаемые коллеги! В продолжение. . .
Грибы - это женщины, деревья - это мужчины. Анти инь янь для союза мужчины и женщины.
anaschu 18.07.2026
ГЛАВНЫЙ НАУЧНО-ФИЛОСОФСКИЙ ВЫВОД: Сексуально-Репродуктивный Капитализм против Государства Моногамии Коллеги, мы вышли на финишную прямую 20-мерного ОДУ-моделирования вековой сукцессии (ветка. . .
Текстовый слайдер с нумерацией страниц и кроссбраузерность.
russiannick 18.07.2026
Один мой друг написал текстовый слайдер с нумерацией страниц. Сегодня я расскажу как он умудрился подружить его с кроссбраузерностью. Очевидно сложно угодить с шириной каждому браузеру. Один крадет. . .
Грибы - это мемы, дерево - это человек. Применение микоризной модели к теории меметики Докинза.
anaschu 18.07.2026
Меметический изоморфизм теории «всего»: Грибная сукцессия как модель эволюции идей Докинза Базовый код системы ОДУ микоризной сукцессии описывает не просто биологию, а универсальную. . .
Грибы - это корпорации, деревья - это государства. Механизм массонского захвата власти
anaschu 18.07.2026
Макроэкономический изоморфизм теории «всего»: Грибная сукцессия как модель транснационального капитализма Базовый код системы ОДУ микоризной сукцессии описывает не просто биологию, а. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru