Перейти к содержанию
Правила раздела
Пройди опрос про новый продукт, получи приз

Trojan:MSIL/Wemaeye.A не удаляется

Pomogite

Автор Pomogite,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Pomogite

Pomogite 0

Опубликовано
Опубликовано

Здравствуйте, подцепил Trojan:MSIL/Wemaeye.A, постоянно ругается windows defender, но удалить не получается, пробовал через drweb cureit и т.д, все бесполезно

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 373

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\админ\AppData\Local\Temp\3e535366d.sys','');
 QuarantineFile('C:\Users\админ\AppData\Local\Temp\32bb144d6.sys','');
 DeleteFile('C:\Users\админ\AppData\Local\Temp\32bb144d6.sys','64');
 DeleteFile('C:\Users\админ\AppData\Local\Temp\3e535366d.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin

DeleteFile(GetAVZDirectory+'quarantine.7z');

ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);

end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
Pomogite

Pomogite 0

Опубликовано
  • Автор
Опубликовано (изменено)

2022.06.28_quarantine_938e3c36184cfd2c7735bfcb94b1c540.7z

Имя карантина, отправил через форму отправки карантина 

Изменено пользователем Pomogite
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 165

Опубликовано
Опубликовано
8 часов назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Это тоже выполните, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 373

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 373

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые логи Farbar

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 373

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
SystemRestore: On
CreateRestorePoint:
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
AlternateDataStreams: C:\ProgramData\Temp:58A5270D [376]
AlternateDataStreams: C:\Users\Public\AppData:CSM [476]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\админ\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\админ\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
Pomogite

Pomogite 0

Опубликовано
  • Автор
Опубликовано

Вроде решена, но при входе в defender висит плашка обнаружены угрозы, при нажатии на запуск действия или попытке войти в журнал защиты def вылетает
image.thumb.png.4cad78e7572235147ed681cc2341afa8.png

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Ullenison
      Подозрение на вирус HEUR:Trojan.Multi.GenAdur.gen
      От Ullenison
      Здравствуйте!

      Очень прошу вашей помощи..при проверке касперский обнаружил троян HEUR:Trojan.Multi.GenAdur.gen. Пока проблем никаких не обнаружила. Хотелось бы быть уверенной, что всё нормально. Файл логов прикладываю. 🙈

      Событие: Обнаружен вредоносный объект
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя приложения: svchost.exe
      Путь к приложению: C:\Windows\System32
      Компонент: Файловый Антивирус
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenAdur.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: User
      Путь к объекту: C:\Windows\System32\Tasks
      MD5 объекта: F58AA60CC4A9C5B4FA3B4A97BFC5AAE0
      Причина: Экспертный анализ
      Дата выпуска баз: Вчера, сб 27.05.23 11:56:00
      CollectionLog-2023.05.28-12.49.zip
    • Columbus
      Удаление майнеров и троянов
      От Columbus
      Снова здравствуйте! На основе помощи по моей предыдущей теме, решил вылечить второй пк, но столкнулся с проблемой при запуске AV block remover. Предоставляю пример ошибки и логи.


      CollectionLog-2023.05.24-21.17.zip
    • Dmitriy12121
      Trojan.Multi.GenAutorunProc.a
      От Dmitriy12121
      Здравствуйте, хотел бы попросить помощи на форуме т.к касперский не может справиться с вирусом, вирус сам открывает рекламу (вкладки в интернете Microsoft Edge), других проблем не заметил, утилита касперского не может поймать вирус, не видит, утилита доктора веба не видит, защитник виндос не видит, касперский видит, но удалить не может, пишет обнаружено, но при других вирусах пишет либо вылечено, либо удалено, подробно: Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: Trojan.Multi.GenAutorunProc.a
      Точность: Точно
      Степень угрозы: Высокая
       
      У меня Windows 10 pro, не понимаю как удалить, прошу помощи.
       
      Не понял как работать с логами (я ребенок, прошу помощи, много не понимаю)
    • Salieri
      [РЕШЕНО] Trojan:Win32/Cryptinject!MTB
      От Salieri
      Здраствуйте, антивирус виндоус нашёл вирус, с любых программ удалить - невозможно.

    • QwArty
      MEM:Trojan.Win32.SEPEH.gen
      От QwArty
      Пару дней происходили странные вещи с ноутом. Не переходил в спящий режим, когда закрывал крышку. Даже когда через пуск принудительно отправлял в спящий режим, ноут отключал монитор, но продолжал работу. Так же возникал черный экран вместо рабочего стола. Сначала проверил через Dr.Web, который успешно ничего не обнаружил. Думал уже винду сносить, но решил проверить с помощью kaspersky. Он-то и обнаружил трояны MEM:Trojan.Win32.SEPEH.gen. Появились вероятно после установки пиратского Adobe Illustrator. После проверки пытался "вылечить", однако не уверен, что удалось, так как в графе "результат" пишет "не обработано", а в графе "причина" чередуется "лечение невозможно" и "пропущено". Тем не менее, теперь ноут штатно переходит в спящий режим и судя по тому, что кулеры теперь не так шумят, загруженность ЦП не такая высокая (да, можно было бы посмотреть в диспетчере задач, однако по беглому поиску информацию о данном трояне, выяснил, что при открытии диспетчера, он маскирует свою работу).
      Вопрос 1 - устранен ли троян? Если нет, то вопрос 2 - что делать, чтобы устранить?
       
      P.S. Не знаю, правильные ли я логи нашел, но прикрепляю файл того, что нашел
      SysWHist.rar
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.

  Я принимаю