| Sr._Serioja_1905 a întrebat:

Salut! Duminică 26.11. 2023 au reapărut cei doi viruși Troian :
1. Win32/Znyonm și
2. Trojan:MSIL/Mamut.AFYN! MTB.
S-au plantat în C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.ex e.
Am observat că la fiecare restartare în C: \ProgramData\ îmi apărea un fișier Avast_64.exe (fără a avea instalat program Avast).
Am intrat în "Panoul de control" la "Programe și caracteristici" și folosind "Activare sau dezactivare caracteristici Windows" am dezactivat aplicația powerschell.exe. Doar așa am putut să șterg din C: \ProgramData\Avast_64.exe (care la executare lansa powerschell.exe).
La sugestia lui "Simpatik" am lansat rkill.exe, am cumpărat 3 antiviruși : Malwarebytes, Avast premium security și Eset online server.
Am rulat toți antivirușii și am eliminat toate problemele.
Singura problemă este că la restartare îmi apare mesajul de la Avast : Numele amenințării : "Am blocat powerschell.exe deoarece era infectat cu IDP.AMSI.40 – Detectare linie de comandă; Process C: \Windows\SYSWOW64\WindowsPowerSchell\v1.0\powerschell.ex e; Detectat de : Scut comportamental, Stare : blocat.
Asta e singura problemă, întrebarea este dacă pot dezinstala (elimina) componenta system Powerschell și cum, sau las totul așa.
De reinstalat nu se pune problema deocamdată că sunt în renovare.
Mulțumesc pentru răspuns.

9 răspunsuri:
| Simpatic a răspuns:

Ok, recomand in continuare sa reinstalezi sistemul de operare pe curat, intrucat powershell este o componenta esentiala face parte din kernelul windows sa zic asa, dupa ce o stergi vei avea ceva probleme poate si erori albastre cine stie
Nu am idee daca malwareul de la tine din device s-a camunflat si a adaugat ca si denumire powershell sau a infectat aceasta componenta, in realitate ambele variante sunt relizabile

As face asa :
mergi in Control Panel si apoi Programs click pe Unistall a program
Dupa care in coloana din stanga sus da click pe "Turn off windows features on or off "

Dupa care deruleaza in jos printre acele fisiere care au mici foldere ca iconuri, pana unde scrie " Windows PowerShell 2.0 " debifeaza cu mouseul casuta care are "check" default si da ok, se va restarta si inchide acea fereastra

Daca apar probleme cu sistemul de operare dupa aceasta urmeaza acest pas

Da click pe Search scrie acolo "CMD" si ruleaza-l cu drepturi de administrator

In fereastra nou deschisa copiaza acesta linie sau tasteaz-o

sfc /scannow

Va dura cateva minute, ne scrii ce iti afiseaza, daca scrie ca totul e in regula numai faci nimic ci doar inchizi

Daca lipsesc fisiere ale sistemului de operare si nu reuseste comanda de mai sus sa remedieze, scrii urmatoarea comanda :

DISM /online /Cleanup-Image / ScanHealth

si DISM /Online /Cleanup-Image /RestoreHealth

Cum am zis reinstalarea de windows este sfanta, totul de la Zero asa ca fa backup

Nu stiu de ce nu a reusit Windows defender sa scape de malware?

Ai incercat sa rulezi Windows Defender cu scanare offline?

Iata cum : https://support.microsoft.com/......be97789dbb

ps: nu cumpara solutii antivirus si antimalware acum cand ai infectie vor face ce fac aceleasi solutii dar gratuite!

Nu te ajuta cu nimic ca le cumperi!

Poti folosi solutii antivirus si antimalware si gratuite, alaturi de o buna rutina de navigare pe net nu vei lua malware, daca in schimb rutina nu este ok, nu se navigheaza safe atunci poti avea o multime de antivirusi ca e cam degeaba!

| Sr._Serioja_1905 explică (pentru Simpatic):

Am rulat windows defender online.

C:\Windows\System32>sfc /scannow

Beginning system scan. This process will take some time.

Beginning verification phase of system scan.
Verification 100% complete.

Windows Resource Protection found corrupt files and successfully repaired them.
For online repairs, details are included in the CBS log file located at
windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. For offline
repairs, details are included in the log file provided by the /OFFLOGFILE flag.

C:\Windows\System32>

| Sr._Serioja_1905 explică (pentru Simpatic):

Malware-ul de la mine din device s-a camunflat si a adaugat ca si denumire avast_64.exe (care la executare rula ca powershell). Am observat că la fiecare restartare în C: \ProgramData\ îmi apărea un fișier Avast_64.exe (fără a avea instalat program Avast).=, dar am scăpat de acest fișier malware.

| THRUSTMASTER a răspuns:

Te rog sa incerci eset antivirus online scanner, malware bytes varianta free si sa iti cumperi un antivirus pe viitor: avast, norton, panda, kaspersky

| THRUSTMASTER a răspuns (pentru THRUSTMASTER):

Sa dai apoi start - cleanup - sa bifezi sa stearga tot ce nu ai nevoie

| Sr._Serioja_1905 explică (pentru THRUSTMASTER):

Am cumpărat 3 antitivuși : Malwarebytes Premium 4.6.6, Avast Premium Security și ESET Online Scanner. Datorită lor am scăpat de virușii Trojan, singura problemă este că la restartare îmi apare mesajul de la Avast : Numele amenințării : "Am blocat powerschell.exe deoarece era infectat cu IDP.AMSI.40 – Detectare linie de comandă; Process C: \Windows\SYSWOW64\WindowsPowerSchell\v1.0\powerschell.exe; Detectat de : Scut comportamental, Stare : blocat.
Asta e singura problemă, întrebarea este dacă pot dezinstala (elimina) componenta system Powerschell și cum, sau las totul așa.

| Sr._Serioja_1905 explică (pentru THRUSTMASTER):

Am dat din 26.11. 2023

| THRUSTMASTER a răspuns (pentru Sr._Serioja_1905):

Vezi cum se numeste fisierul infectat si unde e si mergi si sterge-l, apoi foloseste windows repair sau il cauti pe google, exact cu aceeasi denumire si il pui la loc.

| Sr._Serioja_1905 explică (pentru THRUSTMASTER):

Fișierul infectat Powerschell.exe se află în locația : Windows\SysWOW64\WindowsPowerShell\\-1.0\Powerschell.exe.