0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
1

Trojan:Win32/Powemet.A!attk

05.07.2022, 16:42. Показов 690. Ответов 14
Метки нет (Все метки)

CollectionLog-2022.07.05-16.32.zip

Столкнулся с актуальной проблемой. Прошу помощи с её решением. И заранее спасибо!
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
05.07.2022, 16:42
Ответы с готовыми решениями:

Trojan:Win32/Powemet.A!attk
Добрый день, Windows Defender ежедневно по несколько раз блокирует угрозу...

TRojan:Win32/Powemet.A!attk
Добрый день, уважаемые. Тоже нарвался на эту заразу, и как я понял проблемы помогают решать...

Trojan:Win32/Powemet.A!attk
Добрый день. Добрый день. Помогите, пожалуйста, решить проблему. Антивирусник находит вирус...

Trojan:Win32/Powemet.A!attk
Добрый вечер. Здравствуйте , помогите пожалуйста с удалением Trojan:Win32/Powemet.A!attk ,...

14
Вирусоборец
10715 / 6095 / 1254
Регистрация: 06.09.2009
Сообщений: 23,600
05.07.2022, 17:23 2
C:\ProgramData\setup\update.ex e (он имеет атрибуты скрытый и системный) заархивируйте вручную с паролем malware, выложите на dropmefiles.com и пришлите ссылку на скачивание. Только после этого выполняйте написанное ниже.


Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\windowstask\audiodg.exe');
 TerminateProcessByName('c:\programdata\realtekhd\taskhost.exe');
 TerminateProcessByName('c:\programdata\realtekhd\taskhostw.exe');
 QuarantineFile('c:\program files (x86)\windowsrar\windowsrar.exe','');
 QuarantineFile('C:\ProgramData\windowstask\xmrig-cuda.dll','');
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe','');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe','');
 QuarantineFile('C:\ProgramData\setup\update.exe','');
 QuarantineFile('C:\ProgramData\realtekhd\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\realtekhd\taskhost.exe','');
 DeleteFile('C:\Users\Хранитель\appdata\local\browserupdphenix\browserupdphenix.exe','32');
 DeleteFile('C:\ProgramData\realtekhd\taskhost.exe','32');
 DeleteFile('C:\ProgramData\realtekhd\taskhostw.exe','32');
 DeleteFile('C:\ProgramData\setup\update.exe','32');
 DeleteFile('C:\ProgramData\windowstask\amd.exe','32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
 DeleteFile('C:\ProgramData\windowstask\xmrig-cuda.dll','32');
 DeleteFile('c:\windows\Adobeupdate.exe>','64');
 DeleteFile('c:\windows\Adobeupdate.exe','64');
 DeleteFile('c:\windows\help\AdobeFlac.exe>','64');
 DeleteFile('c:\windows\help\AdobeFlac.exe','64');
 DeleteFile('c:\program files (x86)\windowsrar\windowsrar.exe','32');
 DeleteSchedulerTask('AdobeUpdateFlac');
 DeleteSchedulerTask('AdobeUpdateFlac2');
 DeleteSchedulerTask('Browserupdphenix');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteSchedulerTask('Хранитель');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(13);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Код
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Отправить в OneNote: (default) = C:\Program Files\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O9 - Button: HKLM\..\{2670000A-7350-4f3c-8081-5663EE0C6C49}: (no name) - (no file)
O9 - Button: HKLM\..\{789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}: (no name) - (no file)
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
0
0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
06.07.2022, 13:25  [ТС] 3
Файла update в папке setup нет. Есть только install. Архивировать и отправлять в этом случае его?

Добавлено через 10 минут
Затупил. Нашёл файл update, архивировал. Вот ссылка:
[link]

Добавлено через 18 минут
Отправил через форму. Имя карантина:
2022.07.06_quarantine_35012300 fdf9d0c78759794c3fdf4903.7z
0
0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
06.07.2022, 13:45  [ТС] 4
Всё сделал. На стадии первого скрипта забыл отключить антивирус, но разрешил все найденные элементы, относящиеся к скрипту, а потом отключил. Вроде скрипт без ошибок выполнился. Новые логи прикрепляю.
Вложения
Тип файла: zip CollectionLog-2022.07.06-13.42.zip (62.1 Кб, 2 просмотров)
0
Вирусоборец
10715 / 6095 / 1254
Регистрация: 06.09.2009
Сообщений: 23,600
06.07.2022, 14:30 5
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
1
0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
06.07.2022, 14:47  [ТС] 6
Сделано.
Вложения
Тип файла: 7z FRST.7z (26.4 Кб, 2 просмотров)
0
Вирусоборец
10715 / 6095 / 1254
Регистрация: 06.09.2009
Сообщений: 23,600
06.07.2022, 19:43 7
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код
Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2641956517-3192253623-3659732444-1001\...\MountPoints2: {7e22c235-b7de-11ea-8836-54ab3ae9c827} - "F:\AutoRun.exe" 
HKU\S-1-5-21-2641956517-3192253623-3659732444-1001\...\MountPoints2: {ea385de0-d2ad-11ea-8839-54ab3ae9c827} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
2022-07-06 13:15 - 2022-02-16 14:32 - 000000000 __SHD C:\ProgramData\WindowsTask
2022-07-06 13:15 - 2022-02-16 14:32 - 000000000 __SHD C:\ProgramData\RealtekHD
2022-07-06 13:10 - 2022-02-16 14:31 - 000000000 __SHD C:\ProgramData\Setup
2022-07-06 13:10 - 2019-12-09 19:36 - 000000000 ____D C:\Program Files (x86)\WindowsRar
2022-02-16 14:34 C:\AdwCleaner
2022-02-16 14:34 C:\KVRT_Data
2022-02-16 14:34 C:\Program Files\AVAST Software
2022-02-16 14:34 C:\Program Files\AVG
2022-02-16 14:34 C:\Program Files\ByteFence
2022-02-16 14:34 C:\Program Files\Cezurity
2022-02-16 14:34 C:\Program Files\COMODO
2022-02-16 14:34 C:\Program Files\Enigma Software Group
2022-02-16 14:34 C:\Program Files\ESET
2022-02-16 14:34 C:\Program Files\Kaspersky Lab
2020-03-01 17:31 C:\Program Files\Malwarebytes
2022-02-16 14:34 C:\Program Files\SpyHunter
2022-02-16 14:34 C:\Program Files (x86)\360
2022-02-16 14:34 C:\Program Files (x86)\AVAST Software
2022-02-16 14:34 C:\Program Files (x86)\AVG
2022-02-16 14:34 C:\Program Files (x86)\Cezurity
2022-02-16 14:34 C:\Program Files (x86)\GRIZZLY Antivirus
2022-02-16 14:34 C:\Program Files (x86)\Kaspersky Lab
2022-02-16 14:34 C:\Program Files (x86)\Microsoft JDX
2022-02-16 14:34 C:\Program Files (x86)\Panda Security
2022-02-16 14:34 C:\Program Files (x86)\SpyHunter
2022-02-16 14:34 C:\Windows\speechstracing
2022-02-16 14:34 C:\Program Files\Common Files\McAfee
2022-02-16 14:34 C:\ProgramData\360safe
2022-02-16 14:34 C:\ProgramData\AVAST Software
2022-02-16 14:34 C:\ProgramData\Avira
2022-02-16 14:34 C:\ProgramData\Doctor Web
2022-02-16 14:34 C:\ProgramData\ESET
2022-02-16 14:34 C:\ProgramData\grizzly
2022-02-16 14:34 C:\ProgramData\Kaspersky Lab
2022-02-16 14:34 C:\ProgramData\Kaspersky Lab Setup Files
2022-02-16 14:34 C:\ProgramData\MB3Install
2022-02-16 14:34 C:\ProgramData\McAfee
2022-02-16 14:34 C:\ProgramData\Norton
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
WMI:subscription\__EventFilter->tosa3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
AlternateDataStreams: C:\Users\Хранитель\AppData\Local\Temp:$DATA​ [34]
AlternateDataStreams: C:\Users\Хранитель\AppData\Local\Temp_:$DATA​ [16]
FirewallRules: [{0246293E-B688-4193-B6D3-C750723DABE8}] => (Block) LPort=139
FirewallRules: [{4FE95ECD-54EA-44C1-8B64-5790B506D4AF}] => (Block) LPort=445
FirewallRules: [{D5DA9F51-1657-47FB-9C70-F19BF6C51BE5}] => (Block) LPort=445
FirewallRules: [{D7C6EF6F-2921-4FBD-9FC5-2CBE2B40431B}] => (Block) LPort=139
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
1
0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
07.07.2022, 14:28  [ТС] 8
Готово.
Вложения
Тип файла: txt Fixlog.txt (10.7 Кб, 3 просмотров)
0
Вирусоборец
10715 / 6095 / 1254
Регистрация: 06.09.2009
Сообщений: 23,600
07.07.2022, 17:49 9
Проблема решена?
1
0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
07.07.2022, 18:18  [ТС] 10
Да, уже найденную угрозу считает антивирус удалённой, а новых не находит. Спасибо!
0
Вирусоборец
10715 / 6095 / 1254
Регистрация: 06.09.2009
Сообщений: 23,600
07.07.2022, 23:46 11
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck .txt;
  • Прикрепите этот файл в своем следующем сообщении.
0
0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
08.07.2022, 14:25  [ТС] 12
Сделано.
Вложения
Тип файла: txt SecurityCheck.txt (13.0 Кб, 5 просмотров)
0
Вирусоборец
10715 / 6095 / 1254
Регистрация: 06.09.2009
Сообщений: 23,600
09.07.2022, 03:10 13
WindowsRar 5.72.0.5625
Ускоритель Компьютера 3.0 v.3.0
удалите через Установку программ или принудительно с помощью Geek Uninstaller


------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.1.0.56 v.4.1.0.56 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.30.1 v.2.30.1 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
Python 3.8.6rc1 (64-bit) v.3.8.6121.0 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 17.01 beta (x64) v.17.01 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
Telegram Desktop version 3.7.3 v.3.7.3 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 88.0.4412.74 v.88.0.4412.74 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Microsoft Edge v.103.0.1264.44 Внимание! Скачать обновления
Исправляйте указанное + Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 05.07.2022
Сообщений: 8
17.07.2022, 14:38  [ТС] 14
We have some troubles.

Был в отъезде и ноутбуком не пользовался. Запустил, начал удалять рекомендованные к этому программы. Удалил. Антивирус снова обнаружил троян, который был (хотя лог, кажется, немного другой имеет).

Update: удаление WindowsRar повлияло положительно и защитник смог заблокировать угрозу...
0
Вирусоборец
10715 / 6095 / 1254
Регистрация: 06.09.2009
Сообщений: 23,600
17.07.2022, 14:42 15
Так может обнаружил в карантине Farbar
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
17.07.2022, 14:42
Помогаю со студенческими работами здесь

Trojan:Win32/Powemet.A!attk
Защитник виндовс второй день оповещает о блокируемых троянах. В списке исключений обнаружил...

Trojan:win32/powemet.a!attk
Здравствуйте, Windows Defender несколько раз в день блокирует trojan:win32/powemet.a!attk....

Trojan:Win32/powemet.a!attk
Здравствуйте! Последние пару дней антивирус windows многократно блокировал...

Trojan:Win32/Powemet.A!attk
Приветствую. Столкнулся со следующим вирусом - Trojan:Win32/Powemet.A!attk. Оказывается, уже чуть...

Trojan:Win32/Powemet.A!attk
Помогите удалить Trojan:Win32/Powemet.A!attk, в защитнике пишет Затронутые элементы CmdLine:...

Trojan:Win32/Powemet.A!attk
Добрый день. Защитник Windows блокирует каждый день вирус Trojan:Win32/Powemet.A!attk. Прошу...

Trojan:Win32/Powemet.A!attk и не только
Здравствуйте, Windows Defender второй день по несколько раз блокирует угрозу...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
15
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru