Перейти к содержанию
Правила раздела

Не удается удалить троян Trojan:MSIL/Wemaeye.A

DanM

Автор DanM
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DanM

DanM

Опубликовано
Опубликовано

Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.

logs.zip

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteSchedulerTask('Microsoft\Windows\AppxDeploymentClient\AppxDeploymentClient');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinCAT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Like (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-3035923677-3941118054-462213040-1003\...\Run: [ProtonVPN] => D:\ProtonVPN.exe (Нет файла)
HKU\S-1-5-21-3035923677-3941118054-462213040-1003\...\Run: [MediaGet2] => "C:\Users\Daniil\MediaGet2\mediaget.exe" --minimized (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {7F0F867C-4DDC-483A-B964-5B62910285DC} - System32\Tasks\ZoogVPNRunner => "C:\Program Files (x86)\ZoogVPN\ZoogVPN.exe"  (Нет файла)
S1 avjogpfh; \??\C:\WINDOWS\system32\drivers\avjogpfh.sys [X]
S3 MozillaVPNSplitTunnel; \??\C:\Program Files\Mozilla\Mozilla VPN\mullvad-split-tunnel.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{01A8F2D3-4D91-A6B2-D605-A1302B2F967D}\InprocServer32 -> C:\Program Files\Common Files\System\ole32.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{3fac1856-999e-7736-2d2f-0e5b1c670cbf}\localserver32 -> "D:\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2022\ru-RU\acadficn.dll => Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [133]
FirewallRules: [{BDF763AF-13CB-4E75-B756-256FCF48C4B7}] => (Block) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [{29A837A5-A7AE-458D-BAC4-17E201489AD2}] => (Block) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [UDP Query User{9542C9BC-8962-4085-8EB6-A0B689B020B0}C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe] => (Allow) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [TCP Query User{D5C1EEF3-D516-4553-A71B-6CF1E90FB0F6}C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe] => (Allow) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [{1784B4AB-3556-47C3-8A0E-311E1FC911ED}] => (Allow) C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe => Нет файла
FirewallRules: [{718A8F59-CBEC-4CE4-88A3-E6786BA51C3B}] => (Allow) C:\Users\Daniil\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9F8184FF-E83C-4FA6-815B-C48AB9E507D1}] => (Allow) C:\Users\Daniil\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{957A0901-F003-471D-95D7-26F30C525D83}] => (Block) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [{927EC814-2421-4751-ADE1-2EAD1B9F9E7A}] => (Block) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [UDP Query User{6C647231-5D3B-41B0-A86E-D4A0904926DA}C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe] => (Allow) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [TCP Query User{B5F6BE19-0325-41EE-BF86-EB39E81D88BA}C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe] => (Allow) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [UDP Query User{AA5FB99E-F32D-426B-889E-6C7068FA077A}C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [TCP Query User{5A5E0E02-1721-4797-86E6-7AEFF52EB66A}C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [TCP Query User{530E059A-1B72-4681-8B84-A0C1D9FB7C59}C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Allow) C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Нет файла
FirewallRules: [UDP Query User{989540DF-67E8-423F-9E17-E71A78630A18}C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Allow) C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Нет файла
FirewallRules: [{0FBC7089-144C-47E4-9C24-FF73CD3593FE}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{3EEFA5F7-E0B6-44C8-BF94-BF188983AE5B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{4FAF2814-3C5C-4320-879E-C83F673292BE}C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [UDP Query User{B77CC049-043C-4919-8CD0-1247D3B233A4}C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [{44EC0919-18DF-4745-A471-584BC4011CDF}] => (Block) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [{2B781F30-E328-4728-B194-572C8D143CF9}] => (Block) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [TCP Query User{3441374D-34D3-420F-AB0E-1A92371D4C11}C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe] => (Allow) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [UDP Query User{0BC1277B-99FB-4F52-80B6-AD6E91CAD1AE}C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe] => (Allow) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{08329CF3-A9CE-41FF-A4DB-49E9B3E5EC3C}] => (Block) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{CAA4423E-AF67-46D9-808A-D3D2794F184D}] => (Block) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{58B5B040-91F4-42A8-A9DF-7DB5E3EDCBAE}] => (Allow) C:\Users\Daniil\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{F63F07E1-B695-4F6B-9181-EE9E7E007EF5}] => (Allow) C:\Users\Daniil\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{BBFDD6D2-A9A4-4B72-8B55-B4F970AD61B4}] => (Allow) C:\Users\Daniil\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{2AD3E221-24C3-4C00-89A4-1099D1EE226E}] => (Allow) C:\Users\Daniil\MediaGet2\QtWebEngineProcess.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
DanM

DanM

Опубликовано
  • Автор
Опубликовано

Спасибо огромное за вашу помощь❤️, больше этот троян меня не беспокоит.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • d00dkina
      Не удается удалить троян
      Автор d00dkina
      Добрый день был обнаружен троян-майнер, провела диагностику Dr.Web, все обнаруженные вирусы были удалены, но по факту ничего не удалилось, до сих пор фоном идут подозрительные процессы, провела диагностику с помощью FRST, нужна помощь в составлении fixlist. Логи прикрепляю ссылкой на гугл диск, так как не разобралась как загрузить сюда файлы :(  Заранее благодарю 
      https://drive.google.com/file/d/1jae0DMBDxj1oSljvCrfIufY5_BT4Fkmk/view?usp=drive_link
      https://drive.google.com/file/d/19mQSFjNkYQQEgIah104nhF_0tmWc5Abt/view?usp=drive_link
    • FugaPRO22
      Подцепил Trojan:MSIL/Wemaeye.A касперский и антивирус windows ничего не нашли
      Автор FugaPRO22
      лог от FRST FRST.txt
       
    • Екатерина12165
      Троян не удалился
      Автор Екатерина12165
      Всем привет. У меня винда 11.
      Недавно появились такие файлы и папки с иконкой моего антивирусника, но со странными названия, внутри папок был текст на латинице. Мой антивирусник "pro 32 ultimate security" не нашел вирусов. Прогнала ноут через DR.WEB он нашел вирус, после удаления и перезарузки ноута, файлы остались. Скачала касперского, тот нашел троян, также три раза прогнала через проверку, в первый раз якобы удалился троян и вирусы, а в след. разы пыталась таким способом удалить файлы, которые остались, также 0 результата, хотя вирусы вроде бы удалились, но что меня пугает это остаточные файлы и папки, они обновляются ежедневно. 
      Ранее скачивала через проверенный торрент игрушки... Мб из-за этого словила вирусы.
      Также Ярлыки и игрушки купленные в стиме открываются раз через раз, + иногда рабочий стол не откликается, просто не кликается.
      По поводу ярлыков и приложений, через диспетчер задач снимала их, после пыталась открыть, но без результата, помогала только перезагрузка на +- 2-3 раз. 
      Помогите, пожалуйста, убрать всё таки вирусы или трояны.  



    • essence2234
      Удалились ли трояны?
      Автор essence2234
      После распаковки архива со скачанным с Интернета ПО в папку Defender обнаружил два трояна: Trojan:Win32/Phonzy.A!ml и Trojan:Win32/Sisproc!rts.
      После полного скана файлов переместил оба из них в карантин. Можно ли проверить, не осталось ли от них что-то на компе?
      Других угроз не было обнаружено.
    • RedKaroliner
      [РЕШЕНО] Удалены ли трояны
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
×
×
  • Создать...