Перейти к содержанию

[РЕШЕНО] Как удалить троян wemaeye.A ?


Рекомендуемые сообщения

После того как очередной раз включил ноутбук, антивирус стал жаловатся на троян wemaeye.A . doctor web и microsoft defender ничо ему сделать не смогли. Попробовал удалить его в ручную но в папке в которой судя по анти вирусу он должен был находится ничо не нашёл хотя у меня должны показоватся даже скрытые файлы. Что мне делать? И как победить этот несчатсный троян?

 
 

CollectionLog-2022.06.27-11.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Как вариант, можно воспользоваться специальной версией.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на сообщение
Поделиться на другие сайты
42 минуты назад, Sandor сказал:

 

CollectionLog собранный с помощью этой программы был закреплён в моём вопросе и будет закреплён в этом ответе тоже!

CollectionLog-2022.06.27-11.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Да, и этот архив я скачал и изучил. После чего дал рекомендацию пролечить с помощью AV block remover и прикрепить его отчёт.

А в этой моей фразе

47 минут назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером

ключевое слово "новый".

Вы пока прикрепили старый.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, уже должно стать полегче.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и нежелательное ПО:
 

Цитата

 

Adobe Flash Player 28 PPAPI

Кнопка "Яндекс" на панели задач

Менеджер браузеров

 

Последний выгрузите перед удалением правым щелчком в системном трее (рядом с часами).

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-898098998-1288904519-974263740-1001\...\RunOnce: [ClearTemp] => del C:\Users\Acer\AppData\Local\Temp\yupdate.exe-{A1C4FD83-4A8A-451B-A8E9-8D57F7978914} (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    C:\Users\Acer\AppData\Local\Google\Chrome\User Data\Default\Extensions\gbjeiekahklbgbfccohipinhgaadijad
    CHR HKLM-x32\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad]
    CHR HKLM-x32\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    U1 aswbdisk; отсутствует ImagePath
    AS: Avast Antivirus (Disabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
    AlternateDataStreams: C:\Users\Acer\Application Data:5106e506420bb1270262f28258ad77d9 [394]
    AlternateDataStreams: C:\Users\Acer\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
    AlternateDataStreams: C:\Users\Acer\AppData\Roaming:5106e506420bb1270262f28258ad77d9 [394]
    AlternateDataStreams: C:\Users\Acer\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [456]
    FirewallRules: [{FEFBEB27-ED63-4313-AAEA-9B6E4AD661B6}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{D237371D-B487-4CEA-8068-8300F0B6F8F5}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{4CABAE16-68E2-4A2E-9990-024D5C2F8629}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{55B492A9-835C-4E44-9FB9-650A4DCED3C1}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{242899F8-55A2-4924-A038-87058384795E}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{F6B1A02A-E8E9-4312-B0C1-05596AAE87F4}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{B84B23D8-2A58-43B2-8527-4163AF4E6D27}] => (Block) D:\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [{C4ADA244-9D36-4DA5-BCC3-9555870569F4}] => (Block) D:\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
    FirewallRules: [{EA0A3431-F192-4C7D-85C7-43D8A33D0A20}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{CA2B969E-9A6B-4FD3-B0C7-19D33319E4ED}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{A28617ED-E5D9-4C90-B8E7-7B630BFFAE0F}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{EE97F902-055D-4953-8F67-10ECC81BCA7F}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{C285479D-1687-4D9B-B9F2-C0F8E9F064D6}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{CC07D279-A257-42B1-9CDA-775F21AAEE3A}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{9986499C-FACF-48C7-8BFC-C6423AF16F00}] => (Allow) C:\Users\Acer\AppData\Local\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{8C918101-D237-483C-8E3D-1DD16F615CDB}] => (Allow) C:\Users\Acer\AppData\Local\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{053A6179-9F19-40A8-9DB7-1D80B35D5109}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{31E1CF07-2815-4B1F-B639-CC2E9E2C664D}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{8DFC1976-9139-4871-9AE1-FC16E2665FD2}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Только что, Sandor сказал:

Хорошо.

Проблема решена?

Да! Спасибо огромное! Microsoft defender больше не видит угроз на ноутбуке.

Ссылка на сообщение
Поделиться на другие сайты

И это хорошо :)

 

Завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Norton Security v.22.20.5.39 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
AdGuard v.7.9.3869.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 7.3.1.3 v.7.3.1.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.05 (x64) v.18.05 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 19.00 (x64 edition) v.19.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.20 v.2.10.20 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.12969 Внимание! Скачать обновления
Skype, версия 8.61 v.8.61 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 201 (64-bit) v.8.0.2010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
Audacity 2.4.2 v.2.4.2 Внимание! Скачать обновления
Windows Movie Maker 2.6 v.2.6.4037.0 Данная программа больше не поддерживается разработчиком.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader 8 - Russian v.8.1.2 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.22.5.3.684 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.102.0.5005.115 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 88.0.1 (x86 ru) v.88.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 87.0.4390.45 v.87.0.4390.45 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.01 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Игровой центр v.4.1669 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.3.2f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
GameXP Точка доступа Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
S.T.A.L.K.E.R. - Зов Припяти v1.6.02 / RePack by by.dEf0lT Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

 

На перечисленное обратите внимание и по возможности иправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Columbus
      От Columbus
      Снова здравствуйте! На основе помощи по моей предыдущей теме, решил вылечить второй пк, но столкнулся с проблемой при запуске AV block remover. Предоставляю пример ошибки и логи.


      CollectionLog-2023.05.24-21.17.zip
    • Dmitriy12121
      От Dmitriy12121
      Здравствуйте, хотел бы попросить помощи на форуме т.к касперский не может справиться с вирусом, вирус сам открывает рекламу (вкладки в интернете Microsoft Edge), других проблем не заметил, утилита касперского не может поймать вирус, не видит, утилита доктора веба не видит, защитник виндос не видит, касперский видит, но удалить не может, пишет обнаружено, но при других вирусах пишет либо вылечено, либо удалено, подробно: Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: Trojan.Multi.GenAutorunProc.a
      Точность: Точно
      Степень угрозы: Высокая
       
      У меня Windows 10 pro, не понимаю как удалить, прошу помощи.
       
      Не понял как работать с логами (я ребенок, прошу помощи, много не понимаю)
    • Salieri
      От Salieri
      Здраствуйте, антивирус виндоус нашёл вирус, с любых программ удалить - невозможно.

    • QwArty
      От QwArty
      Пару дней происходили странные вещи с ноутом. Не переходил в спящий режим, когда закрывал крышку. Даже когда через пуск принудительно отправлял в спящий режим, ноут отключал монитор, но продолжал работу. Так же возникал черный экран вместо рабочего стола. Сначала проверил через Dr.Web, который успешно ничего не обнаружил. Думал уже винду сносить, но решил проверить с помощью kaspersky. Он-то и обнаружил трояны MEM:Trojan.Win32.SEPEH.gen. Появились вероятно после установки пиратского Adobe Illustrator. После проверки пытался "вылечить", однако не уверен, что удалось, так как в графе "результат" пишет "не обработано", а в графе "причина" чередуется "лечение невозможно" и "пропущено". Тем не менее, теперь ноут штатно переходит в спящий режим и судя по тому, что кулеры теперь не так шумят, загруженность ЦП не такая высокая (да, можно было бы посмотреть в диспетчере задач, однако по беглому поиску информацию о данном трояне, выяснил, что при открытии диспетчера, он маскирует свою работу).
      Вопрос 1 - устранен ли троян? Если нет, то вопрос 2 - что делать, чтобы устранить?
       
      P.S. Не знаю, правильные ли я логи нашел, но прикрепляю файл того, что нашел
      SysWHist.rar
    • Dyhan4ik
      От Dyhan4ik
      09.05 скачивал игры с торрента, после установки одной из них заметил подозрительное название в корневой папке игры game.exe и папка с игрой называлась Game, не названии и ничего. попытался запустить. На первый взгляд ничего не произошло. сразу же удалил папку через Sihft+Del и думал проблема позади, оказалось не так. При запуске пк сразу начали на полную крутиться все вентиляторы, я сразу понял, что поймал вирус. и игры в которые я раньше играл начали вылетать ссылаясь на runtime Microsoft visual , как будто бы не хватает видеопамяти или мощности процессора. Сайты с антивирусами не открывались, а во время установки касперского, аваст др веб возникали ошибки во время инсталляции. через Dr.Web CureIt! проверил диски и нажал рекомендованные действия и думал, что все позади, оказалось, что антивирусы так и не устанавливаются а кулер и вентиляторы так же работают на всю, хотя настроены по температуре, пк почистил утром. Открыл файл host через блокнот и увидел что все популярные сайты с антивирусами прописаны и через дефис 8.8.8.8. Я это все стер, сделал папку только для чтения и прорвался на форум сделал сбор логов, и очень жду помощи. Сегодня у меня наступил день рожденья) Отличный я себе сделал подарок😀😀
      CollectionLog-2023.05.11-01.51.zip cureit(2432).log
×
×
  • Создать...