Trojan:MSIL/Wemaeye.A не очищается защитником Defender Windows и постоянно создаёт файлы dll

[Madwheel]

Здравствуйте, уважаемая поддержка.

Помогите, пожалуйста, избавиться от этого проклятого вируса! От оповещений защитника Windows у меня уже глаз дёргается.

Во-первых, он активен только когда ноут подключён к сети, от аккумулятора - вирус как будто спит, соответственно, оповещения не приходят.

Во-вторых, файлы dll он создаёт только в 2х папках: file: C:\Users\мвидео\AppData\Local\Temp\tiiubtbb.dll и в file: C:\Windows\Temp\q2dq4zv3\q2dq4zv3.dll, где в первой чаще.

В-третьих, я ни разу не видел эти вирусные файлы, скоько бы не пытался заходить по этим путям, но защитник хоть и старается их сразу удалять, некоторые из них всё же как-то обходят его и продолжают быть активными, выполняя команды злоумышленника. А когда я пытаюсь запустить действие удаления вручную, ничего не происходит, защитник как будто не раегирует на команды.

Я пробовал чистить реестр, сбрасывал все настройки браузера, удалял все временные файлы в C:\Windows\temp и ещё что-то через диспетчер задач, но всё безуспешно.

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[Madwheel]

Спасибо большое! После лечения антивирусом Касперского, оповещения от защитника Windows прекратились! Вирусы и шпионские программы, которые не видел Дефендер, удалены а/в Касперского.

[thyrex]

Логи сделайте все же

[Madwheel]

25.08.2022 в 02:07, thyrex сказал:

Логи сделайте все же

 

Здравствуйте. Скачал ваш AutoLogger, запустил его, всё прошло достаточно быстро и без трудностей.

CollectionLog-2022.09.02-18.32.zip report2.log

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Dev2Check\dev2c.exe','');
 DeleteFile('C:\ProgramData\Dev2Check\dev2c.exe','64');
 DeleteSchedulerTask('OneDev Reporting Task');
 DeleteSchedulerTask('Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask');
 DeleteFile('C:\ProgramData\install\utorrent.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Madwheel]

03.09.2022 в 02:50, thyrex сказал:

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Dev2Check\dev2c.exe','');
 DeleteFile('C:\ProgramData\Dev2Check\dev2c.exe','64');
 DeleteSchedulerTask('OneDev Reporting Task');
 DeleteSchedulerTask('Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask');
 DeleteFile('C:\ProgramData\install\utorrent.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Здравствуйте. Сделал всё, как вы описали выше. Ноутбук не перезагружался! Не знаю, где находится quarantine.7z и не понимаю, что я должен отправить из того, что получилось после анализа (скрин содержимого папки в AutoLogger прикрепил)

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.