Trojan win32 mamson a ac что это
Перейти к содержимому

Trojan win32 mamson a ac что это

  • автор:


How To Fix Guide

Trojan:Win32/Mamson.A!ac is a malware that corresponds to AgentTesla remote-access trojan (RAT). This malware is often used as a stage 1 malware in ransomware attacks, which preceeds the final payload. Using AgentTesla, hackers can prepare the system to accept further infections.

Any malware exists with the only target – make money on you. And the developers of these things are not thinking about ethicality – they utilize all possible methods. Grabbing your personal data, receiving the payments for the banners you watch for them, exploiting your system components to mine cryptocurrencies – that is not the full list of what they do. Do you like to be a riding horse? That is a rhetorical question.

GridinSoft Anti-Malware Review

It is better to prevent, than repair and repent!

When we talk about the intrusion of unfamiliar programs into your computer’s work, the proverb “Forewarned is forearmed” describes the situation as accurately as possible. Gridinsoft Anti-Malware is exactly the tool that is always useful to have in your armory: fast, efficient, up-to-date. It is appropriate to use it as an emergency help at the slightest suspicion of infection.

Gridinsoft Anti-Malware 6-day trial available.
EULA | Privacy Policy | Gridinsoft

Subscribe to our Telegram channel to be the first to know about news and our exclusive materials on information security.

This Article Contains:

What is Trojan:Win32/Mamson.A!ac detection mean?

Trojan:Win32/Mamson.A!ac is a specific detection name used by Microsoft Defender. Trojan Mamson.A are a type of malware that disguises itself as legitimate files or software to trick users into executing them. Once activated, Mamson.A can perform a variety of harmful actions on the infected system.

In the case of Trojan:Win32/Mamson.A!ac, it is likely that this particular variant is designed to carry out specific malicious activities unique to its code. The specific actions of Mamson.A Trojan can vary, but common behaviors of Mamson malware include:

  • Backdoor Functionality: Mamson Trojan can create a “backdoor” on the infected system, allowing remote attackers to gain unauthorized access and control over the computer. This enables cybercriminals to steal sensitive data, install additional malware, or use the compromised system for malicious activities.
  • Data Theft: Some Trojans like Mamson can steal sensitive information such as login credentials, financial data, or personal files from the infected computer.
  • Distributed Denial of Service (DDoS) Attacks: Mamson can be used to participate in DDoS attacks, where multiple infected computers are used to overwhelm a target server or network with a flood of traffic, causing it to become unavailable.
  • Keylogging: Certain Mamson.A include keylogging functionality, which records keystrokes entered by the user. This information can be used to capture login credentials and other sensitive data.
  • Adware and Spam: Some Mamson Trojans may install adware or display unwanted pop-up advertisements on the infected system, generating revenue for the attackers.

The Trojan:Win32/Mamson.A!ac detection you can see in the lower right side is displayed to you by Microsoft Defender. That anti-malware program is quite OK at scanning, however, prone to be basically unstable. It is unprotected to malware invasions, it has a glitchy user interface and bugged malware removal capabilities. Thus, the pop-up which says concerning the Mamson is rather just a notification that Defender has actually spotted it. To remove it, you will likely need to make use of another anti-malware program.

Trojan:Win32/Mamson.A!ac found

Microsoft Defender: “Trojan:Win32/Mamson.A!ac”

The exact Trojan:Win32/Mamson.A!ac virus is a very undesirable thing. It is present into your system disguised as a part of something benevolent, or as a piece of the tool you downloaded at a forum. Then, it makes all possible steps to make your system weaker. At the end of this “party”, it injects other viruses – ones which are wanted by crooks who control this malware. Hence, it is likely impossible to predict the effects from Mamson actions. And the unpredictability is one of the most unwanted things when it comes to malware. That’s why it is better not to choose at all, and don’t give it even a single chance to complete its task.

Шифровальщики-вымогатели The Digest «Crypto-Ransomware»

Шифровальщик (вирус-шантажист). Защита от программ-шифровальщиков. Как удалить вирус-шифровальщик?
Шифровальщики — это вредоносные программы, которые шифруют файлы и требуют выкуп за их расшифровку.
Данный сайт — это ДАЙДЖЕСТ и ПЕРВОИСТОЧНИК информации о шифровальщиках и всевозможных вымогателях.
Авторские статьи, инструкции для пострадавших, рекомендации по защите и профилактике угрозы Ransomware.

суббота, 1 января 2022 г.


XYZconfig Ransomware

JuanJoRodriguez Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English

Этот крипто-вымогатель шифрует данные пользователей с помощью комбинации алгоритмов AES+RSA, а затем требует выкуп в 100-150 XMR, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: config.exe. Написан на языке Go.

DrWeb -> Trojan.Encoder.34855
BitDefender -> Gen:Variant.Razy.921131
ESET-NOD32 -> A Variant Of WinGo/Filecoder.AY
Kaspersky -> Trojan-Ransom.Win32.Encoder.owc
Malwarebytes -> Ransom.FileCryptor.GO
Microsoft -> Trojan:Win32/Mamson.A!ac
Rising -> Ransom.Encoder!8.FFD4 (CLOUD)
Symantec -> Downloader
Tencent -> Win32.Trojan.Encoder.Taev
TrendMicro -> TROJ_FRS.0NA103A222

© Генеалогия: ✂ Hive, Decaf + Malicious Library >> XYZconfig

Сайт «ID Ransomware» это пока не идентифицирует.
Информация для идентификации

Активность этого крипто-вымогателя была в начале января 2021 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру.

К зашифрованным файлам добавляется расширение: .xyz

Записка с требованием выкупа называется: _Readme_.txt

Содержание записки о выкупе:
What happened to your files ?
All of your files are now protected by a strong encryption method.

If you have valuable data don’t waste your time, because there is NO other way to get your files back, except through my decryption tool that you can buy following the below steps.


1)Send 100 XMR (Monero) to 4ASaDVQiHE59wGWvvamXPaekxsw4p2K5n3YrmXzwfVaL2QiPTG78iVsDkhxdc8fPPzaQxBCUJ6u5Rbum16LBstY4SAQQ8Mj (you can buy following the official guide

2)Send your Transaction Key to prove the payment via mail to and

3)You will receive the instructions to your mail on how to decrypt your files within 24 hours (If you can not wait 24 hours make a payment of 150 XMR instead, you will receive the instructions in 2 hours)


Перевод записки на русский язык:
Что случилось с вашими файлами?
Все ваши файлы теперь защищены надежным методом шифрования.

Если у вас есть ценные данные, не тратьте свое время, т.к. нет другого способа вернуть ваши файлы, только с моим инструментом дешифрования, который вы можете купить, сделав следующие шаги.


1)Отправьте 100 XMR (Monero) на 4ASaDVQiHE59wGWvvamXPaekxsw4p2K5n3YrmXzwfVaL2QiPTG78iVsDkhxdc8fPPzaQxBCUJ6u5Rbum16LBstY4SAQQ8Mj (купить можно по официальному руководству

2) Отправьте ключ транзакции для подтверждения платежа по почте на и .

3)Вы получите на почту инструкцию как расшифровать ваши файлы в течение 24 часов (Если вы не можете ждать 24 часа, сделайте вместо этого платеж в размере 150 XMR , вы получите инструкцию в течение 2 часов)


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Могут быть различия с первым вариантом.

Технические детали + IOC

Распространяется с помощью сайтов пиратского ПО, перепакованных и заражённых инсталляторов.

Может также распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений. См. также «Основные способы распространения криптовымогателей» на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту.
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
_Readme_.txt — название файла с требованием выкупа;
config.exe — название вредоносного файла.

\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->


Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

См. ниже результаты анализов.

Сетевые подключения и связи:
XMR (Monero): 4ASaDVQiHE59wGWvvamXPaekxsw4p2K5n3YrmXzwfVaL2QiPTG78iVsDkhxdc8fPPzaQxBCUJ6u5Rbum16LBstY4SAQQ8Mj

См. ниже в обновлениях другие адреса и контакты.

Результаты анализов:
MD5: cf351819c69c94fbdaec24cb8c30990b
SHA-1: 4911d5384ca3720c48a0c8ba47b1edba33dfa0ff
SHA-256: 25d18c3823a3b210a18e69c823ce4c59fab298c315ac2a5d891027921d1c6d7e
Vhash: 026066655d5d15541az28!z
Imphash: c7269d59926fa4252270f407e4dab043

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



Ещё не было обновлений этого варианта.


  Read to links: Message + Message + myMessage Write-up, Topic of Support * 
  Thanks: dnwls0719 Andrew Ivanov (article author) *** to the victims who sent the samples 

Что за вирус?

Na_SVOJEJ_VoLNE Просветленный (22670) Цели Целью троянской программы может быть [2]: закачивание и скачивание файлов; копирование ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией; создание помех работе пользователя; кража данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам, выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях; распространение других вредоносных программ, таких как вирусы; уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей; сбор адресов электронной почты и использование их для рассылки спама; слежка за пользователем и т

дизассемблируй и посмотри. либо научись пользоваться гуглом и надейся, что уже это кто-то сделал и выложил отчёт. никто за тебя не хочет гуглить

Даниил ДемидовЗнаток (326) 4 года назад

Ну попробуй найти. Я в принципе пробовал, все сайты с названием trojan win32 masson.a ml — закрыты! Доступ закрыт

Никита Просветленный (26364) следовательно ты не узнаешь, что он делает. можешь подождать, когда появятся отчёты от крупных антивирусных лабораторий, но не факт, что появятся либо же ты можешь нанять кодера, который изучит исходный код, если он не зашифрован и расскажет, что он конкретно делал, но вря дли это кто-то будет делать такую работу бесплатно и уж точно никто из тех, кто сидит в ответах

Удалить Trojan:Win32/Fleercivet (Инструкция)


Если антивирус стал обнаруживать Trojan:Win32/Fleercivet, значит ваш компьютер заражен трояном. Этот зловред обычно поражает установленные веб-браузеры и может изменять их настройки и ярлыки. Подобные вирусы чаще всего проникают на компьютер в составе бесплатных программ или при скачивании и запуске поддельных обновлений Флеш плеера или Java. Сразу после запуска, Trojan:Win32/Fleercivet вирус добавляет себя в автозагрузку, чтобы запускаться при каждом включении компьютера автоматически. Все время, пока этот вирус активен, он может симулировать клики по рекламе, скачивать и устанавливать разные ненужные пользователю программы, показывать большое количество рекламы в браузерах, изменять настройки всех установленных в системе веб-браузеров и таким образом перенаправлять пользователя на разные рекламные или вводящие в заблуждение веб сайты.

Если вы заметили, что ваш антивирус определил, что система заражена Trojan:Win32/Fleercivet трояном, то не нужно ждать, нужно как можно быстрее выполнить инструкцию, которая приведена ниже.

Часто встречающиеся симптомы заражения Trojan:Win32/Fleercivet вирусом

  • Ваш браузер показывает рекламу там, где её никогда небыло
  • Большое количество всплывающих окон с рекламой в Google Chrome, Mozilla Firefox и Internet Explorer (Edge)
  • Настройки Интернет браузеров изменены (домашняя страница и поисковик)
  • Ваш антивирус постоянно обнаруживает разнообразные вирусы и угрозы
  • Скорость загрузки веб-страниц снизилась

Способы очистки вашего компьютера от Trojan:Win32/Fleercivet

Как удалить Trojan:Win32/Fleercivet (пошаговая инструкция)

Чтобы удалить эту инфекцию и восстановить настройки браузеров Google Chrome, Internet Explorer, Mozilla Firefox, выполните пошаговую инструкцию приведённую ниже. Вам понадобиться использовать стандартные возможности Windows и несколько проверенных бесплатных программ. Эта инструкция — это пошаговое руководство, которое нужно выполнять шаг за шагом. Если у вас что-либо не получается, то ОСТАНОВИТЕСЬ, запросите помощь написав комментарий к этой статье или создав новую тему на нашем форуме.

  1. Проверить компьютер программой AdwCleaner
  2. Проверить компьютер программой Malwarebytes Anti-malware
  3. Проверить компьютер программой Kaspersky Virus Removal Tool
  4. Сбросить настройки веб-браузеров
  5. Очистив ярлыки Интернет браузеров
  6. Проверить планировщик заданий
  7. Защитить компьютер от навязчивой рекламы и вредоносных сайтов

Проверить компьютер программой AdwCleaner

AdwCleaner это небольшая программа, которая не требует установки на компьютер и создана специально для того, чтобы находить и удалять рекламные и потенциально ненужные программы. Эта утилита не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу AdwCleaner кликнув по следующей ссылке.

Скачать AdwCleaner
Скачано 1152789 раз(а)
Версия: 8.3.2
Автор: Malwarebytes, Xplode
Категория: Безопасность
Дата обновления: 25 мая, 2022

После окончания загрузки программы, запустите её. Откроется главное окно AdwCleaner.


Кликните по кнопке Сканировать. Программа начнёт проверять ваш компьютер. Когда проверка будет завершена, перед вами откроется список найденных компонентов вредоносных программ.

adwcleaner результаты сканирования

Кликните по кнопке Очистка. AdwCleaner приступ к лечению вашего компьютера и удалит все найденные компоненты зловредов. По-окончании лечения, перезагрузите свой компьютер.

Проверить компьютер программой Malwarebytes Anti-malware

Malwarebytes Anti-malware это широко известная программа, созданная для борьбы с разнообразными рекламными и вредоносными программами. Она не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу Malwarebytes Anti-malware используя следующую ссылку.

Скачать Malwarebytes Anti-Malware
Скачано 417035 раз(а)
Версия: 4.3
Автор: Malwarebytes
Категория: Безопасность
Дата обновления: 22 декабря, 2020

Когда программа загрузится, запустите её. Перед вами откроется окно Мастера установки программы. Следуйте его указаниям.

malwarebytes anti-malware

Когда инсталляция будет завершена, вы увидите главное окно программы.


Автоматически запуститься процедура обновления программы. Когда она будет завершена, кликните по кнопке Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.

malwarebytes anti-malware

Когда проверка компьютера закончится, Malwarebytes Anti-malware покажет вам список найденных частей вредоносных и рекламных программ.

malwarebytes anti-malware результаты сканирования

Для продолжения лечения и удаления зловредов вам достаточно нажать кнопку Удалить выбранное. Этим вы запустите процедуру удаления рекламных и вредоносных программ.

Проверить компьютер программой Kaspersky Virus Removal Tool

Скачайте программу используя следующую ссылку.

Kaspersky virus removal tool
Скачано 40766 раз(а)
Автор: Kaspersky® lab
Категория: Безопасность
Дата обновления: 20 сентября, 2019

После окончания загрузки запустите скачанный файл.


Кликните по кнопке Начать проверку для запуска сканирования вашего компьютера на наличие вируса-шифровальщика.

KVRT проверяет компьютер

Дождитесь окончания этого процесса и удалите найденных зловредов.

Сбросить настройки веб-браузеров


Сброс настроек Хрома позволит удалить вредоносные расширения и восстановить настройки браузера к значениям принятым по-умолчанию. При этом, ваши личные данные, такие как закладки и пароли, будут сохранены.

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). Появится меню как на нижеследующей картинке.

осоновное меню браузера Гугл Хром

Выберите пункт Настройки. Открывшуюся страницу прокрутите вниз и найдите ссылку Показать дополнительные настройки. Кликните по ней. Ниже откроется список дополнительных настроек. Тут вам нужно найти кнопку Сброс настроек и кликнуть по ней. Гугл Хром попросит вас подтвердить свои действия.

Подтверждение выполнения операции сброса настроек Гугл Хрома

Нажмите кнопку Сбросить. После этого, настройки браузера будут сброшены к первоначальным и восстановится ваша домашняя страница и поисковик.


Сброс настроек Файрфокса позволит удалить вредоносные расширения и восстановить настройки браузера к значениям принятым по-умолчанию. При этом, ваши личные данные, такие как закладки и пароли, будут сохранены.

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). В появившемся меню кликните по иконке в виде знака вопроса ( ). Это вызовет меню Справка, как показано на рисунке ниже.


Здесь вам нужно найти пункт Информация для решения проблем. Кликните по нему. В открывшейся странице, в разделе Наладка Firefox нажмите кнопку Очистить Firefox. Программа попросит вас подтвердить свои действия.

Firefox - Сброс настроек

Нажмите кнопку Очистить Firefox. В результате этих действий, настройки браузера будут сброшены к первоначальным. Этим вы сможете восстановить вашу домашнюю страницу и поисковую машину.

Internet Explorer

Сброс настроек Интернет Эксплорера и Эджа позволит удалить вредоносные расширения и восстановить настройки браузера к значениям принятым по-умолчанию.

Откройте главное браузера, кликнув по кнопке в виде шестерёнки ( ). В появившемся меню выберите пункт Свойства браузера.

Интернет Эксплорер

Здесь откройте вкладку Дополнительно, а в ней нажмите кнопку Сброс. Откроется окно Сброс параметров настройки Internet Explorer. Поставьте галочку в пункте Удалить личные настройки, после чего кликните кнопку Сброс.

Интернет Эксплорер

Когда процесс сброса настроек завершиться, нажмите кнопку Закрыть. Чтобы изменения вступили в силу вам нужно перезагрузить компьютер. Таким образом вы сможете избавиться от использования рекламного сайта в качестве вашей домашней страницы и поисковика.

Очистить ярлыки Интернет браузеров

При проникновении на компьютер Trojan:Win32/Fleercivet может изменить не только настройки ваших браузеров, но и их ярлыки. Благодаря чему, при каждом запуске браузера будет открываться рекламный сайт.

Для очистки ярлыка браузера, кликните по нему правой клавишей и выберите пункт Свойства.

Очистка ярлыка Firefox

На вкладке Ярлык найдите поле Объект. Щелкните внутри него левой клавишей мыши, появится вертикальная линия — указатель курсора, клавишами перемещения курсора (стрелка -> на клавиатуре) переместите его максимально вправо. Вы увидите там добавлен текст, его и нужно удалить.

Очистка ярлыка Firefox

Удалив этот текст нажмите кнопку OK. Таким образом очистите ярлыки всех ваших браузеров, так как все они могут быть заражены.

Проверить планировщик заданий

Мы рекомендуем, на последнем этапе очистки компьютера, проверить Библиотеку планировщика заданий и удалить все задания, которые были созданы вредоносными программами, так как именно они могут являться причиной автоматического открытия рекламного сайта при включении компьютера или через равные промежутки времени.

Нажмите на клавиатуре одновременно Windows и R (русская К). Откроется небольшое окно с заголовком Выполнить. В строке ввода введите «taskschd.msc» (без кавычек) и нажмите Enter. Откроется окно Планировщика заданий. В левой его части выберите пункт «Библиотека планировщика заданий», как показано на следующем примере.

Планировщик заданий - поиск задания, которое открывает навязчивый сайт

В средней части вы увидите список установленных заданий. Выберите первое заданий, а в его свойствах, которые откроются чуть ниже выберите вкладку Действия. По очереди просматривайте все задания, обращайте внимание на то, что оно запускает на вашем компьютере. Нашли что-то подобное «explorer.exe hxxp://адрес сайта» или «chrome.exe hxxp://адрес сайта», то это задание можно смело удалять. Если вы не уверены, что запускает задание, то проверьте его через наш сайт или в поисковой системе, по названию запускаемого файла. Если файл — компонент вируса или вредоносной программы, то это задание тоже смело можно удалять.

Определившись с заданием, которое нужно удалить, кликните по нему правой клавишей мыши и выберите пункт Удалить. Этот шаг выполните несколько раз, если вы нашли несколько заданий, которые были созданы вредоносными программами. Пример удаления задания, созданого рекламным вирусом показан на рисунке ниже.

Удаление задания созданного вредоносной программой

Удалив все задания, закройте окно Планировщика заданий.

Защитить компьютер от навязчивой рекламы и вредоносных сайтов

Чтобы повысить защиту своего компьютера, кроме антивирусной и антиспайварной программы, нужно использовать приложение блокирующее доступ к разннобразным опасным и вводящим в заблуждение веб-сайтам. Кроме этого, такое приложение может блокировать показ навязчивой рекламы, что так же приведёт к ускорению загрузки веб-сайтов и уменьшению потребления веб траффика.

Скачайте программу AdGuard используя следующую ссылку.

Скачать Adguard
Скачано 205315 раз(а)
Автор: © Adguard
Категория: Безопасность
Дата обновления: 17 июля, 2018

После окончания загрузки запустите скачанный файл. Перед вами откроется окно Мастера установки программы.


Кликните по кнопке Я принимаю условия и и следуйте указаниям программы. После окончания установки вы увидите окно, как показано на рисунке ниже.


Вы можете нажать Пропустить, чтобы закрыть программу установки и использовать стандартные настройки, или кнопку Начать, чтобы ознакомиться с возможностями программы AdGuard и внести изменения в настройки, принятые по-умолчанию.

В большинстве случаев стандартных настроек достаточно и менять ничего не нужно. При каждом запуске компьютера AdGuard будет стартовать автоматически и блокировать всплывающую рекламу,а так же другие вредоносные или вводящие в заблуждения веб странички. Для ознакомления со всеми возможностями программы или чтобы изменить её настройки вам достаточно дважды кликнуть по иконке AdGuard, которая находиться на вашем рабочем столе.

Выполнив эту инструкцию, Trojan:Win32/Fleercivet будет удален. Восстановиться ваша домашнаяя страница и поисковик. К сожалению, авторы подобных приложений постоянно их обновляют, затрудняя лечение компьютера. Поэтому, в случае если эта инструкция вам не помогла, значит вы заразились новой версией вредоносной программы и тогда лучший вариант — обратиться на наш форум.

Для того чтобы в будущем больше не заразить компьютер, пожалуйста следуйте трём небольшим советам

  • При установке новых программ на свой компьютер, всегда читайте правила их использования, а так же все сообщения, которые программа будет вам показывать. Старайтесь не производить инсталляцию с настройками по-умолчанию!
  • Держите антивирусные и антиспайварные программы обновлёнными до последних версий. Так же обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows.
  • Если вы используете Java, Adobe Acrobat Reader, Adobe Flash Player, то обязательно их обновляйте вовремя.

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *