Перейти к содержанию

Trojan:MSIL/Wemaeye.A не удаляется


Рекомендуемые сообщения

Здравствуйте, подцепил Trojan:MSIL/Wemaeye.A, постоянно ругается windows defender, но удалить не получается, пробовал через drweb cureit и т.д, все бесполезно

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\админ\AppData\Local\Temp\3e535366d.sys','');
 QuarantineFile('C:\Users\админ\AppData\Local\Temp\32bb144d6.sys','');
 DeleteFile('C:\Users\админ\AppData\Local\Temp\32bb144d6.sys','64');
 DeleteFile('C:\Users\админ\AppData\Local\Temp\3e535366d.sys','64');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin

DeleteFile(GetAVZDirectory+'quarantine.7z');

ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);

end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

2022.06.28_quarantine_938e3c36184cfd2c7735bfcb94b1c540.7z

Имя карантина, отправил через форму отправки карантина 

Изменено пользователем Pomogite
Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Это тоже выполните, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые логи Farbar

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
SystemRestore: On
CreateRestorePoint:
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
AlternateDataStreams: C:\ProgramData\Temp:58A5270D [376]
AlternateDataStreams: C:\Users\Public\AppData:CSM [476]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\админ\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\админ\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Вроде решена, но при входе в defender висит плашка обнаружены угрозы, при нажатии на запуск действия или попытке войти в журнал защиты def вылетает
image.thumb.png.4cad78e7572235147ed681cc2341afa8.png

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • ryckovry
      От ryckovry
      Здравствуйте!

      Вчера заразила ноут троянами. Просканировала его утилитой Касперского, было найдено 13 вирусов, нажала «Лечить с перезагрузкой». Сканирование после лечения нашло ещё 3 трояна, которых до этого не было в отчёте, и 2 других опасных файла (на фото). Но ноут хотя бы перестал греться и шуметь как сумасшедший, и проц не разгоняется больше до 100. 

      Сегодня просканировала второй раз, Касперский ничего не нашёл. Но я сомневаюсь, что все трояны удалены и обезврежены. Хочу убедиться в этом, но сама не понимаю, как. Скажите, пожалуйста, что нужно сделать?

      Точку восстановления ОС пока не создавала.

      CollectionLog-2024.03.22-12.58.zip
    • grafbender
      От grafbender
      Доброго времени суток. Мой пк тормозит уже продолжительное время. Какого-либо внимания я этому не уделял, так как пользуюсь им редко. Однако, пару дней назад я совершая пробную операцию по покупке крипты, скопировал номер своего кошелька и направил на него деньги. Как оказалось каким то неведомым образом номер кошелька менялся прямо при копировании. Тут я и начал что то подозревать. Просканировав пк утилитой от Dr.Web, мне выдало целый список вирусов среди которых были трояны и btcmine. Только после удаления всех этих файлов, я решился посмотреть в интернете как с этим бороться, и понял что не все так просто. При повторном сканировании как Dr.Web так и Касперским более никаких вирусов не обнаруживается, однако полной уверенности от избавления у меня нету. Подсобите пожалуйста, какие шаги мне необходимо проделать  еще
      P.S. Нельзя назвать меня осторожным пользователем пользователем интернета, поэтому пиратского контента употребляется и употреблялось очень много, то есть торренты в моей жизни присутствуют.
      AV_block_remove_2024.03.12-20.03.log
    • Камиль Махмутянов
      От Камиль Махмутянов
      Доброго дня, антивирус обнаружил вирус HEUR:Trojan.Win64.Miner.gen. несколько раз удалял, но вирус каждый раз восстанавливается, а антивирус его удалить не может. Подскажите пожалуйста как можно решить эту проблему? Большо спасибо!!
      CollectionLog-2024.03.09-00.19.zip
    • Borova
      От Borova
      Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 
      Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !
      Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 
×
×
  • Создать...