Просмотр полной версии : Троян самовозобновляется и дистабилизирует Защитник виндовс
Процесс Antimalware Service Executable ест фоном 200-300 Мб памяти, без нагрузки на ЦП, при чём без колебаний.
С KVRT, Adwcleaner почистили потенциально опысные файлы и рекламный мусор, но всё равно грузит.
Написав в командной строке "net stop windefend", наружу показался Trojan:Win32/MpTamperSrvDisableAV.H , затронутые элементы CmdLine: C:\Windows\System32\net.exe stop windefend
Защитник сам его удалил, но тот процесс продолжал жрать память, и при повторном вводе этой команды, этот троян показывал себя вновь и вновь.
Теперь Защитник не запускает проверку Автономным модулем, а также вовсе не работает в безопасном режиме. Antimalware Service Executable продолжает стабильно поглощать 200 Мб. Другие антивирусы ничего больше не замечают. :worried:
Info_bot
22.09.2025, 07:44
Уважаемый(ая) Sorkal, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи (https://virusinfo.info/pravila.html).
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+ (https://virusinfo.info/content.php?r=613-sub_pomogite).
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект (https://virusinfo.info/content.php?r=113-virusinfo.info-donate).
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (http://virusinfo.info/showthread.php?t=4491):
O22 - Tasks: (disabled) \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSyste m127.0.6490.0{58ABCA6C-247E-4636-AB65-0BD1ED59D631} - C:\Program Files (x86)\Google\GoogleUpdater\127.0.6490.0\updater.ex e --wake --system (file missing)
O22 - Tasks: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report - C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSFReport.exe /send (file missing)
O22 - Tasks: (disabled) \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Updater - C:\Program Files (x86)\Hewlett-Packard\HP Support Solutions\Modules\HPSSFUpdater.exe /f (file missing)
Скачайте, распакуйте и запустите утилиту ClearLNK (https://virusinfo.info/soft/tool.php?tool=ClearLNK). Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
Отчёт о работе прикрепите.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe (https://virusinfo.info/showthread.php?t=7239):
begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System[(EventID=1116)]]"', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.
В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
Следую всему очерёдно, но не вижу - какой именно текст нужен для ClearLNK?
Следую всему очерёдно, но не вижу - какой именно текст нужен для ClearLNK?
Пардон, вот так:
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK (https://virusinfo.info/soft/tool.php?tool=ClearLNK). Отчёт о работе прикрепите.
Отчёты от ClearLNK и FRST прикреплены к сообщению
Гугл диск с Events.7z: https://drive.google.com/file/d/14ahwrZ9ZqrplUh-ryoaGXxNRHVNMadfB/view?usp=sharing
Процесс Antimalware Service Executable ест фоном 200-300 Мб памяти, без нагрузки на ЦП, при чём без колебаний.
Это нормально.
При установке/активации MS Office запускался Defendercontrol, он и отключал защитник, были многократные срабатывания 20 и 21.09:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/Defendercontrol!pz&threatid=2147890903&enterprise=0
Имя: HackTool:Win32/Defendercontrol!pz
ИД: 2147890903
Серьезность: Высокий
Категория: Программное средство
Путь: containerfile:_E:\downloads\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022)\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022).iso; file:_E:\downloads\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022)\Windows 10 22H2 + LTSC 21H2 (x64) 20in1 +- Office 2021 by Eagle123 (10.2022).iso->JINN\WinSetup\OEM\10_$OEM$\$$\Setup\Scripts\Addons \DefenderControl\DefenderControl.exe
Как он ещё мог повлиять на защитник, не знаю, вполне возможно, автономный модуль перестал работать в результате его работы.
Больше плохого не видно.
Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Может помочь, но сомневаюсь.
Хорошо. Спасибо Вам большое за уделённое время, это привнесло ясности! Хорошего Вам дня :victory:
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot