Как-то подцепил Trojan:Win32/Pomal!rfn

@Hotkill · Регистрация: 24.07.2025

Студворк — интернет-сервис помощи студентам

Здравствуйте. Никак не могу справится с этим вирусом Trojan:Win32/Pomal!rfn, после каждой загрузки пк Windows Defender ругается на его присутствие в file: C:\Users\\AppData\Local\Temp\nsf4D84.tmp \7z-out\resources\app.asar.unpacked\dist\ele ctron\assets\app.dll папки каждый раз меняются. Буду очень благодарен за помощь. Спасибо
Еще заметил в браузере Edge фейковое расширение, после удаления появляется снова

@severnyj · 24.07.2025, 17:09

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
begin
 TerminateProcessByName('c:\users\killer\appdata\roaming\utorrent\utorrentweb.exe');
 TerminateProcessByName('c:\users\killer\appdata\local\temp\2yvvtfhdxereencgrka7yh5me1q\setup.exe');
 QuarantineFile('c:\users\killer\appdata\roaming\utorrent\utorrentweb.exe', '');
 QuarantineFile('c:\users\killer\appdata\local\temp\2yvvtfhdxereencgrka7yh5me1q\setup.exe', '');
 DeleteFile('c:\users\killer\appdata\local\temp\2yvvtfhdxereencgrka7yh5me1q\setup.exe', '32');
 DeleteFile('c:\users\killer\appdata\roaming\utorrent\utorrentweb.exe', '32');
 DeleteFile('C:\Users\Killer\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 DeleteSchedulerTask('UpdateTorrent');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

Пофиксите в HJT (некоторые строки могут отсутствовать):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
O15 - Trusted Zone: hxxp://hola.org
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O22 - BITS Job: Fix all (including legit)
O22 - Tasks: UpdateTorrent - C:\Users\Killer\AppData\Roaming\utorrent\UtorrentWeb.exe (not signed - no company - 55DC5E834AE54FC96C9E55C829DAB29D7A3C025A)
O23 - Driver S1: beydntob - C:\Windows\system32\drivers\beydntob.sys (file missing) (+safe mode)
O23 - Driver S1: EneTechIo - C:\Windows\system32\drivers\ene.sys (file missing)
O23 - Driver S1: fchaknfy - C:\Windows\system32\drivers\fchaknfy.sys (file missing) (+safe mode)
O23 - Driver S1: mgqvwwyn - C:\Windows\system32\drivers\mgqvwwyn.sys (file missing) (+safe mode)
O23 - Driver S3: EAAntiCheat - C:\Windows\system32\drivers\eaanticheat.sys (file missing)
O26-32 - Office Addin: HKLM\..\WordEEFonts.Connect - (Microsoft Word East European Fonts Tool) -> (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

@Hotkill · 24.07.2025, 17:31 **[ТС]**

Файл карантина отправил на почту. В HJT не было 2х строк 022

@severnyj · 24.07.2025, 17:41

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
C:\Users\Killer\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ndcileolkflehcjpmjnfbnaibdcgglog
FF Extension: (Adblock Plus - бесплатный блокировщик рекламы) - C:\Users\Killer\AppData\Roaming\Mozilla\Firefox\Profiles\plnjqj58.default-release\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2025-07-16]
C:\Users\Killer\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndnmpdjbkobboegpecohbchkllcianol
CHR HKU\S-1-5-21-109977174-3309212224-3965005268-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-109977174-3309212224-3965005268-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CustomCLSID: HKU\S-1-5-21-109977174-3309212224-3965005268-1001_Classes\CLSID\{14100442-9664-1407-2647-000000000000}\localserver32 -> "C:\Users\Killer\AppData\Local\Wondershare\Wondershare NativePush\WsToastNotification.exe" -ToastActivated => Нет файла
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

@Hotkill · 24.07.2025, 17:56 **[ТС]**

Спасибо

@severnyj · 24.07.2025, 18:01

Файл вида D:\Desktop\24.07.2025_17.45.42.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru (если сайт сообщает о вирусе в архиве, упакуйте архив в архив с паролем virus), ссылку пришлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @).

Включите защиту от подделки в Защитнике Windows.

Сообщите, что с проблемой?

@Hotkill · 24.07.2025, 18:17 **[ТС]**

Спасибо проблема ушла. Ссылку отправил

@severnyj · 24.07.2025, 18:19

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

@Hotkill · 24.07.2025, 18:35 **[ТС]**

Лог

@severnyj · 24.07.2025, 18:39

Обновите ПО:

Приложение NVIDIA 11.0.3.232 v.11.0.3.232 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
TechPowerUp GPU-Z v.2.47.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.115.0615.0002 Внимание! Скачать обновления
WinRAR 5.01 (64-разрядная) v.5.0.1.0 Внимание! Скачать обновления
Red Shield VPN, версия 3.2.3 v.3.2.3 Внимание! Скачать обновления
K-Lite Mega Codec Pack 17.4.5 v.17.4.5 Внимание! Скачать обновления

+++

Рекомендации после удаления вредоносного ПО

@Hotkill · 24.07.2025, 18:42 **[ТС]**

Спасибо за помощь!

@severnyj · 24.07.2025, 18:45

Удачи!

Новые блоги и статьи Все статьи Все блоги /
AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .
Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .

@severnyj 6414 / 2904 / 580 Регистрация: 04.04.2012 Сообщений: 10,543
	24.07.2025, 18:01
	Файл вида D:\Desktop\24.07.2025_17.45.42.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru (если сайт сообщает о вирусе в архиве, упакуйте архив в архив с паролем virus), ссылку пришлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @). Включите защиту от подделки в Защитнике Windows. Сообщите, что с проблемой? 0

@Hotkill 0 / 0 / 0 Регистрация: 24.07.2025 Сообщений: 6
	24.07.2025, 18:17 [ТС]
	Спасибо проблема ушла. Ссылку отправил 0

@severnyj 6414 / 2904 / 580 Регистрация: 04.04.2012 Сообщений: 10,543
	24.07.2025, 18:19
	Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите. Компьютер будет перезагружен автоматически. Подготовьте лог SecurityCheck by glax24: Скачайте архив, распакуйте в любую папку и запустите. Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению. 0

@severnyj 6414 / 2904 / 580 Регистрация: 04.04.2012 Сообщений: 10,543
	24.07.2025, 18:39
	Обновите ПО: Приложение NVIDIA 11.0.3.232 v.11.0.3.232 Внимание! Скачать обновления Microsoft Office Стандартный 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления TechPowerUp GPU-Z v.2.47.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления Microsoft OneDrive v.25.115.0615.0002 Внимание! Скачать обновления WinRAR 5.01 (64-разрядная) v.5.0.1.0 Внимание! Скачать обновления Red Shield VPN, версия 3.2.3 v.3.2.3 Внимание! Скачать обновления K-Lite Mega Codec Pack 17.4.5 v.17.4.5 Внимание! Скачать обновления +++ Рекомендации после удаления вредоносного ПО 1

@Hotkill 0 / 0 / 0 Регистрация: 24.07.2025 Сообщений: 6
	24.07.2025, 18:42 [ТС]
	Спасибо за помощь! 0

@severnyj 6414 / 2904 / 580 Регистрация: 04.04.2012 Сообщений: 10,543
	24.07.2025, 18:45
	Удачи! 0