1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
1

Trojan:Win32/Powemet.A!attk и не только

26.06.2022, 13:15. Показов 7696. Ответов 135
Метки нет (Все метки)

Здравствуйте, Windows Defender второй день по несколько раз блокирует угрозу Trojan:Win32/Powemet.A!attk, а так же пару раз были другие трояны, но не успел зафиксировать.
SpyHunter 5 нашёл вроде, но нужно ждать 48 часов. Dr Web CureIt не нашёл ничего.
Вложения
Тип файла: zip CollectionLog-2022.06.26-13.10.zip (134.6 Кб, 48 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
26.06.2022, 13:15
Ответы с готовыми решениями:

Trojan:Win32/Powemet.A!attk
Приветствую. Столкнулся со следующим вирусом - Trojan:Win32/Powemet.A!attk. Оказывается, уже чуть...

Trojan:Win32/Powemet.A!attk
Добрый день. Добрый день. Помогите, пожалуйста, решить проблему. Антивирусник находит вирус...

Trojan:Win32/Powemet.A!attk
Добрый день. Защитник Windows блокирует каждый день вирус Trojan:Win32/Powemet.A!attk. Прошу...

Trojan:Win32/Powemet.A!attk
Добрый день, Windows Defender ежедневно по несколько раз блокирует угрозу...

Trojan:Win32/Powemet.A!attk
Добрый вечер. Здравствуйте , помогите пожалуйста с удалением Trojan:Win32/Powemet.A!attk ,...

135
Вирусоборец
Вирусоборец
146 / 143 / 25
Регистрация: 12.01.2017
Сообщений: 634
20.07.2022, 05:37 121
Здравствуйте,

Согласно данным лаборатории Касперского, должно детектироваться.
Уточните пожалуйста если базы обновлены после 15-го июля?

ЛК запрашивает также следующее:
===========================
В powershell с правами администратора и выполните пожалуйста команду:
Код
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer > C:\wmidump.txt
И эту, аналогичную, для верности в командной строке (cmd.exe):
Код
wmic /NAMESPACE:"\\root\subscription" PATH __EventConsumer > C:\wmidump2.txt
Предоставьте полученные файлы в следующем сообщение, предвариельно заархивировав в zip.
Код
C:\wmidump.txt
C:\wmidump2.txt
Спасибо.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
20.07.2022, 10:01  [ТС] 122
Вот файлы. Сейчас поставлю трассировку и проведу ещё раз полную проверку. Использую 30-дневную лицензию. Базы каждый день обновляются.

Ещё такой вопрос. "Для веб-страниц нам также необходим .MHT архив страницы (в браузере Internet Explorer его можно получить, воспользовавшись пунктом "Сохранить как" контекстного меню)."

Не совсем понял, что тут нужно. Но я не думаю что дело в браузере, оно и без интернета срабатывает
Вложения
Тип файла: zip wmidump.zip (1.0 Кб, 12 просмотров)
0
Вирусоборец
Вирусоборец
146 / 143 / 25
Регистрация: 12.01.2017
Сообщений: 634
20.07.2022, 13:17 123
Здравствуйте,

Касаемо .MHT, к сожалению не смогу подсказать.

Просьба от ЛК:
==================
Могли бы пожауйста также на время исследования переименовать (чтобы не запускался службой) античит для pubg:
Код
c:\program files\common files\pubg\zksvc.exe
Связи с малварой не нашел, но на всякий случай.
==================
0
Вирусоборец
Вирусоборец
146 / 143 / 25
Регистрация: 12.01.2017
Сообщений: 634
22.07.2022, 19:25 124
Здравствуйте,

Отправьте, пожалуйста, скриншоты дефендера с детектированиями.

P.S. Есть подозрение, что Защитник( Дефендер) реагирует на угрозу в карантине.

Спасибо.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
22.07.2022, 20:55  [ТС] 125
Вот, пожалуйста
Миниатюры
Trojan:Win32/Powemet.A!attk и не только  
0
Вирусоборец
Вирусоборец
146 / 143 / 25
Регистрация: 12.01.2017
Сообщений: 634
23.07.2022, 21:22 126
Здравствуйе,

Давайте попробуем собрать необходимую информацию которая запросила ЛК, подробности я вам отправил в лс.

  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код::
    Код
    Start::
    CreateRestorePoint:
    Folder: C:\Programdata\WindowsTask
    Folder: C:\Programdata\RealtekHD
    Folder: C:\Programdata\RunDLL
    Folder: C:\Programdata\setup
    Folder: C:\Programdata\install
    Folder: C:\Programdata\w1
    Folder: C:\ProgramData\Windows Tasks Service
    Folder: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet
    Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\Remote Manipulator System"
    Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths"
    CMD: dir /a:h C:\ProgramData
    CMD: dir /a:s C:\ProgramData
    CMD: ipconfig /flushdns
    CMD: nslookup google.com
    CMD: type "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    startpowershell:
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    endpowershell:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер возможно будет перезагружен.

Если это не поможет, то возможно необходимо будет почистить кэш и историю дефендера.
3
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
23.07.2022, 22:44  [ТС] 127
Здравствуйте, я так понял нужно только FRST сделать, вот фикслоги. Ещё, насчёт процессов cmd и powershell. Может их не получается отловить, потому что они срабатывают только в самом начале, при включении компьютера? А когда уже всякие сканы и тд, нет их.
Вложения
Тип файла: txt Fixlog.txt (7.2 Кб, 19 просмотров)
0
Вирусоборец
10721 / 6100 / 1255
Регистрация: 06.09.2009
Сообщений: 23,621
23.07.2022, 23:54 128
Лучший ответ Сообщение было отмечено Joramormont как решение

Решение

Интересное дело получается. Как давно Вы обновляли систему с Windows 10 на Windows 11? Похоже, что уже 2021-12-19 20:47 у Вас были задачи от майнера.

Упакуйте папку C:\Windows\System32\Tasks_Migr ated\Microsoft\Windows\Wininet и пришлите архив. После этого папку удалите, перезагрузите компьютер.

Сообщите, как ведет себя Защитник после перезагрузки.
1
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
24.07.2022, 00:05  [ТС] 129
А вот как раз 19.12.2021 и перешел с 10 на 11
Вложения
Тип файла: zip Wininet.zip (4.4 Кб, 21 просмотров)
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
24.07.2022, 00:10  [ТС] 130
После удаления папки, больше не детектит. Если завтра что появится, я отпишу. Всем огромное спасибо!!!
А теперь вопрос - что это было и как в будущем этого избежать?
0
Вирусоборец
10721 / 6100 / 1255
Регистрация: 06.09.2009
Сообщений: 23,621
24.07.2022, 00:27 131
На старой системе жил майнер, который создал свои задачи в Планировщике. Майнер каким-то образом был удален еще на прежней системе, а задачи от него остались. Но при апгрейде системы они корректно не перенеслись, потому и появилась папка Tasks_Migrated. Почему Защитник начал на них реагировать спустя полгода так и остается тайной )
2
Эксперт WindowsАвтор FAQ
17829 / 7564 / 889
Регистрация: 25.12.2011
Сообщений: 11,314
Записей в блоге: 17
24.07.2022, 18:25 132
Joramormont, давайте посмотрим, не осталось ли хвостов в реестре от этих заданий.

Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.
  • Запустите утилиту
  • Скопируйте и вставьте следующий текст в поле ввода:
    Код
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule
  • Отметьте опцию Export keys.
  • Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

Затем:
  • Ещё раз запустите утилиту MiniRegTool
  • Скопируйте и вставьте следующий текст в поле ввода:
    Код
    RealtekHDStartUP
  • Отметьте опцию Search .
  • Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
24.07.2022, 23:16  [ТС] 133
Вот
Вложения
Тип файла: zip Result1.zip (129.7 Кб, 11 просмотров)
1
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,438
27.07.2022, 08:46 134
Joramormont, спасибо и вам за терпение и чёткое выполнение инструкций! Это позволило нам обновить и улучшить наши инструменты.

Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck .txt
  • Прикрепите этот файл к своему следующему сообщению.
0
1 / 1 / 0
Регистрация: 06.11.2019
Сообщений: 70
28.07.2022, 17:45  [ТС] 135
Вот, не было возможности сесть за компьютер вчера
Вложения
Тип файла: txt SecurityCheck.txt (11.1 Кб, 3 просмотров)
0
Вирусоборец
18168 / 14342 / 2663
Регистрация: 08.10.2012
Сообщений: 58,438
29.07.2022, 08:16 136
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления
Node.js v.18.4.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft SQL Server 2012 Express LocalDB v.11.0.2318.0 Данная программа больше не поддерживается разработчиком.
Python 3.9.2 (64-bit) v.3.9.2150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.00 (x64) v.22.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.11.1 (6602) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.2.8 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe)^


По возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО

Удачи!
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
29.07.2022, 08:16
Помогаю со студенческими работами здесь

Trojan:Win32/Powemet.A!attk Выдает Defender Win10
Дефендер раз в пару часов блокирует активность с указанием трояна иногда имя трояна меняется на...

Вирус Behavior:Win32/Powemet.B!attk
Добрый день. Помогите, пожалуйста, решить проблему. Антивирусник находит вирус...

Удаление троянов Trojan:Win32/CommandAndControl!rfn и Trojan:Win32/Occamy.C80
Здравствуйте! К сожалению, поймал пару троянов,хотя может их и более, но FRST64.exe показывает...

HEUR:Trojan.Win32.Generic, Trojan-Downloader.Win32.Agent.silkhl
Поставил Kaspersky Free и он начал ругаться на вирусы. При чем лечил и удалял, но потом снова они...

Trojan-Ransom.Win32.Gimemo.jhc, HEUR:Trojan.Win32.Generic
Здравствуйте, уважаемые господа вирусологи, прошу помощи в решении проблем с заразой. Где-то 22...

trojan.win32.generic!bt и trojan.win32.sifef.bb(v) , trojan.win32.sifef.ag
Добрый день.Помогите в борьбе с троянами.Все началось со скачанного торрента.Стали очень меленно...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
136
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru