Перейти к содержанию

[РЕШЕНО] Trojan:MSIL/Wemaeye.A создает dll файлы при работе в браузере


Рекомендуемые сообщения

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
12 минут назад, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','');
 QuarantineFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\5916d5015b6.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\591ae1ef98f.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65215dadd88.sys','64');
 DeleteFile('C:\Users\KURVA\AppData\Local\Temp\65263707f72.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
 DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ


begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

 

CollectionLog-2022.06.24-22.35.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
17 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

Desktop.7z

Ссылка на сообщение
Поделиться на другие сайты

Перестаньте, пожалуйста, заниматься цитированием выдаваемых Вам рекомендаций.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1229492460-2119564278-523572018-1001\...\Run: [GalaxyClient] => [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {A153323D-1DEA-441F-8B0F-9F9B1EFBAA20} - System32\Tasks\Opera scheduled Autoupdate 1646216538 => C:\Users\KURVA\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\KURVA\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\KURVA\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------


NVIDIA GeForce Experience 3.24.0.126 v.3.24.0.126 Внимание! Скачать обновления
Foxit Reader v.7.0.8.1216 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.15.9.0.1 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 311 (64-bit) v.8.0.3110.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.0.0 Full v.17.0.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.005.20054 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.92.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.102.0.5005.115 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.88 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Исправляйте указанное, и на этом закончим

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Egor2egor
      От Egor2egor
      Добрый вечер. Словил какого-то шифровальщика (.ZEPPELIN - появился такой файл вместе с зашифроваными файлами, которые стали формата .kd8eby0.14D-4A0-6BE) не знаю что делать. Используем ваше лицензионное ПО. Текст для выкупа следующий:
       
      ======
      !!! ALL YOUR FILES ARE ENCRYPTED !!!
      All your files, documents, photos, databases and other important files are encrypted.
      You are not able to decrypt it by yourself! The only method of recovering files is to purchase an unique private key.
      Only we can give you this key and only we can recover your files.
      To be sure we have the decryptor and it works you can send an email: lingon1@onionmail.com and decrypt one file for free.
      But this file should be of not valuable!
      Do you really want to restore your files?
      Write to email: lingon1@onionmail.com
      Reserved email: kd8eby0@nuke.africa
      In case of no answer in 24 hours write us to this e-mail: kd8eby0@inboxhub.net
      Your personal ID: 14D-4A0-6BE
      Attention!
       * Do not rename encrypted files.
       * Do not try to decrypt your data using third party software, it may cause permanent data loss.
       * Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
      ======
      etovirus.Zeppelin.rar file.rar
    • Konder
      От Konder
      После того как очередной раз включил ноутбук, антивирус стал жаловатся на троян wemaeye.A . doctor web и microsoft defender ничо ему сделать не смогли. Попробовал удалить его в ручную но в папке в которой судя по анти вирусу он должен был находится ничо не нашёл хотя у меня должны показоватся даже скрытые файлы. Что мне делать? И как победить этот несчатсный троян?
          CollectionLog-2022.06.27-11.42.zip
    • Сергей 2022
    • Tvorojocheck
      От Tvorojocheck
      Добрый день, прошу помочь с удалением данного вируса
      CollectionLog-2022.06.24-12.22.zip
    • Феликсъ
      От Феликсъ
      Та же проблема, но скрипт не работает (имя пк изменил на своё)
       
      Сообщение от модератора thyrex Перенесено из темы  
×
×
  • Создать...