Перейти к содержанию

Не удается удалить троян Trojan:MSIL/Wemaeye.A


Рекомендуемые сообщения

Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.

logs.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteSchedulerTask('Microsoft\Windows\AppxDeploymentClient\AppxDeploymentClient');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinCAT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-3035923677-3941118054-462213040-1003\...\Run: [ProtonVPN] => D:\ProtonVPN.exe (Нет файла)
HKU\S-1-5-21-3035923677-3941118054-462213040-1003\...\Run: [MediaGet2] => "C:\Users\Daniil\MediaGet2\mediaget.exe" --minimized (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {7F0F867C-4DDC-483A-B964-5B62910285DC} - System32\Tasks\ZoogVPNRunner => "C:\Program Files (x86)\ZoogVPN\ZoogVPN.exe"  (Нет файла)
S1 avjogpfh; \??\C:\WINDOWS\system32\drivers\avjogpfh.sys [X]
S3 MozillaVPNSplitTunnel; \??\C:\Program Files\Mozilla\Mozilla VPN\mullvad-split-tunnel.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{01A8F2D3-4D91-A6B2-D605-A1302B2F967D}\InprocServer32 -> C:\Program Files\Common Files\System\ole32.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{3fac1856-999e-7736-2d2f-0e5b1c670cbf}\localserver32 -> "D:\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2022\ru-RU\acadficn.dll => Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [133]
FirewallRules: [{BDF763AF-13CB-4E75-B756-256FCF48C4B7}] => (Block) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [{29A837A5-A7AE-458D-BAC4-17E201489AD2}] => (Block) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [UDP Query User{9542C9BC-8962-4085-8EB6-A0B689B020B0}C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe] => (Allow) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [TCP Query User{D5C1EEF3-D516-4553-A71B-6CF1E90FB0F6}C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe] => (Allow) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [{1784B4AB-3556-47C3-8A0E-311E1FC911ED}] => (Allow) C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe => Нет файла
FirewallRules: [{718A8F59-CBEC-4CE4-88A3-E6786BA51C3B}] => (Allow) C:\Users\Daniil\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9F8184FF-E83C-4FA6-815B-C48AB9E507D1}] => (Allow) C:\Users\Daniil\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{957A0901-F003-471D-95D7-26F30C525D83}] => (Block) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [{927EC814-2421-4751-ADE1-2EAD1B9F9E7A}] => (Block) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [UDP Query User{6C647231-5D3B-41B0-A86E-D4A0904926DA}C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe] => (Allow) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [TCP Query User{B5F6BE19-0325-41EE-BF86-EB39E81D88BA}C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe] => (Allow) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [UDP Query User{AA5FB99E-F32D-426B-889E-6C7068FA077A}C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [TCP Query User{5A5E0E02-1721-4797-86E6-7AEFF52EB66A}C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [TCP Query User{530E059A-1B72-4681-8B84-A0C1D9FB7C59}C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Allow) C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Нет файла
FirewallRules: [UDP Query User{989540DF-67E8-423F-9E17-E71A78630A18}C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Allow) C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Нет файла
FirewallRules: [{0FBC7089-144C-47E4-9C24-FF73CD3593FE}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{3EEFA5F7-E0B6-44C8-BF94-BF188983AE5B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{4FAF2814-3C5C-4320-879E-C83F673292BE}C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [UDP Query User{B77CC049-043C-4919-8CD0-1247D3B233A4}C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [{44EC0919-18DF-4745-A471-584BC4011CDF}] => (Block) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [{2B781F30-E328-4728-B194-572C8D143CF9}] => (Block) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [TCP Query User{3441374D-34D3-420F-AB0E-1A92371D4C11}C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe] => (Allow) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [UDP Query User{0BC1277B-99FB-4F52-80B6-AD6E91CAD1AE}C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe] => (Allow) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{08329CF3-A9CE-41FF-A4DB-49E9B3E5EC3C}] => (Block) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{CAA4423E-AF67-46D9-808A-D3D2794F184D}] => (Block) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{58B5B040-91F4-42A8-A9DF-7DB5E3EDCBAE}] => (Allow) C:\Users\Daniil\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{F63F07E1-B695-4F6B-9181-EE9E7E007EF5}] => (Allow) C:\Users\Daniil\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{BBFDD6D2-A9A4-4B72-8B55-B4F970AD61B4}] => (Allow) C:\Users\Daniil\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{2AD3E221-24C3-4C00-89A4-1099D1EE226E}] => (Allow) C:\Users\Daniil\MediaGet2\QtWebEngineProcess.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • JAZZ and JAZZ
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
    • Marchi
      От Marchi
      не знаю после чего конкретно началась проблема.
      Довольно долго я просто игнорировал нытьё компа о каких то там разрешениях, мол, хочешь чтобы разрешили? на, радуйся.
      Однако в какой-то момент просто надоело. 
      Пошёл разбираться что за лаунчер такой, обнаружил их аж 2 шт, снёс через обычное удаление программ ( и gt26-launcher и просто gt-launxer, оба снёс)
      Комп стал ныть что какой-то там сценарий (tasklC.vbs) не может найти какой-то файл...
      В общем очень хочется извести эту муть с ПК.
      Видел в темах подобный случай, но побоялся делать по инструкции от туда, мало ли...

      Помогите пожалуйста....
      CollectionLog-2024.10.06-06.00.zip
    • Crossbean
      От Crossbean
      Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.
      Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt
    • ilyaperminov2010
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • KirillR
      От KirillR
      После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.
      Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется
      KVRT - угроз не нашел
      CollectionLog-2024.10.01-11.11.zip
×
×
  • Создать...