PDA

Просмотр полной версии : Троян самовозобновляется и дистабилизирует Защитник виндовс



Sorkal
22.09.2025, 07:42
Процесс Antimalware Service Executable ест фоном 200-300 Мб памяти, без нагрузки на ЦП, при чём без колебаний.
С KVRT, Adwcleaner почистили потенциально опысные файлы и рекламный мусор, но всё равно грузит.
Написав в командной строке "net stop windefend", наружу показался Trojan:Win32/MpTamperSrvDisableAV.H , затронутые элементы CmdLine: C:\Windows\System32\net.exe stop windefend
Защитник сам его удалил, но тот процесс продолжал жрать память, и при повторном вводе этой команды, этот троян показывал себя вновь и вновь.
Теперь Защитник не запускает проверку Автономным модулем, а также вовсе не работает в безопасном режиме. Antimalware Service Executable продолжает стабильно поглощать 200 Мб. Другие антивирусы ничего больше не замечают. :worried:

Info_bot
22.09.2025, 07:44
Уважаемый(ая) Sorkal, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).

Vvvyg
22.09.2025, 12:14
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (http://virusinfo.info/showthread.php?t=4491):
O22 - Tasks: (disabled) \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSyste m127.0.6490.0{58ABCA6C-247E-4636-AB65-0BD1ED59D631} - C:\Program Files (x86)\Google\GoogleUpdater\127.0.6490.0\updater.ex e --wake --system (file missing)
O22 - Tasks: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report - C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe /send (file missing)
O22 - Tasks: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /f (file missing)
Скачайте, распакуйте и запустите утилиту ClearLNK (https://virusinfo.info/soft/tool.php?tool=ClearLNK). Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
Отчёт о работе прикрепите.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (https://virusinfo.info/showthread.php?t=7239):
begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System[(EventID=1116)]]"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.
В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Sorkal
22.09.2025, 17:45
Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
Следую всему очерёдно, но не вижу - какой именно текст нужен для ClearLNK?

Vvvyg
22.09.2025, 20:30
Следую всему очерёдно, но не вижу - какой именно текст нужен для ClearLNK?

Пардон, вот так:
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK (https://virusinfo.info/soft/tool.php?tool=ClearLNK). Отчёт о работе прикрепите.

Sorkal
23.09.2025, 16:57
Отчёты от ClearLNK и FRST прикреплены к сообщению
Гугл диск с Events.7z: https://drive.google.com/file/d/14ahwrZ9ZqrplUh-ryoaGXxNRHVNMadfB/view?usp=sharing

Vvvyg
23.09.2025, 21:39
Процесс Antimalware Service Executable ест фоном 200-300 Мб памяти, без нагрузки на ЦП, при чём без колебаний.
Это нормально.

При установке/активации MS Office запускался Defendercontrol, он и отключал защитник, были многократные срабатывания 20 и 21.09:

Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Defendercontrol!pz&threatid=2147890903&enterprise=0
Имя: HackTool:Win32/Defendercontrol!pz
ИД: 2147890903
Серьезность: Высокий
Категория: Программное средство
Путь: containerfile:_E:\downloads\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022)\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022).iso; file:_E:\downloads\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022)\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022).iso->JINN\WinSetup\OEM\10_$OEM$\$$\Setup\Scripts\Addons \DefenderControl\DefenderControl.exe
Как он ещё мог повлиять на защитник, не знаю, вполне возможно, автономный модуль перестал работать в результате его работы.
Больше плохого не видно.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Может помочь, но сомневаюсь.

Sorkal
24.09.2025, 16:43
Хорошо. Спасибо Вам большое за уделённое время, это привнесло ясности! Хорошего Вам дня :victory:

Vvvyg
24.09.2025, 21:20
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.