Перейти к содержанию
Правила раздела
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Не удается удалить троян Trojan:MSIL/Wemaeye.A

DanM
 Share Подписчики 1

Рекомендуемые сообщения

DanM

DanM 0

Опубликовано
Опубликовано

Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.

logs.zip

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 402

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteSchedulerTask('Microsoft\Windows\AppxDeploymentClient\AppxDeploymentClient');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinCAT');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 402

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 402

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-3035923677-3941118054-462213040-1003\...\Run: [ProtonVPN] => D:\ProtonVPN.exe (Нет файла)
HKU\S-1-5-21-3035923677-3941118054-462213040-1003\...\Run: [MediaGet2] => "C:\Users\Daniil\MediaGet2\mediaget.exe" --minimized (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {7F0F867C-4DDC-483A-B964-5B62910285DC} - System32\Tasks\ZoogVPNRunner => "C:\Program Files (x86)\ZoogVPN\ZoogVPN.exe"  (Нет файла)
S1 avjogpfh; \??\C:\WINDOWS\system32\drivers\avjogpfh.sys [X]
S3 MozillaVPNSplitTunnel; \??\C:\Program Files\Mozilla\Mozilla VPN\mullvad-split-tunnel.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{01A8F2D3-4D91-A6B2-D605-A1302B2F967D}\InprocServer32 -> C:\Program Files\Common Files\System\ole32.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{3fac1856-999e-7736-2d2f-0e5b1c670cbf}\localserver32 -> "D:\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-3035923677-3941118054-462213040-1003_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2022\ru-RU\acadficn.dll => Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [133]
FirewallRules: [{BDF763AF-13CB-4E75-B756-256FCF48C4B7}] => (Block) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [{29A837A5-A7AE-458D-BAC4-17E201489AD2}] => (Block) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [UDP Query User{9542C9BC-8962-4085-8EB6-A0B689B020B0}C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe] => (Allow) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [TCP Query User{D5C1EEF3-D516-4553-A71B-6CF1E90FB0F6}C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe] => (Allow) C:\users\daniil\downloads\smarthome-win-amd64-0.2.1.exe => Нет файла
FirewallRules: [{1784B4AB-3556-47C3-8A0E-311E1FC911ED}] => (Allow) C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe => Нет файла
FirewallRules: [{718A8F59-CBEC-4CE4-88A3-E6786BA51C3B}] => (Allow) C:\Users\Daniil\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{9F8184FF-E83C-4FA6-815B-C48AB9E507D1}] => (Allow) C:\Users\Daniil\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{957A0901-F003-471D-95D7-26F30C525D83}] => (Block) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [{927EC814-2421-4751-ADE1-2EAD1B9F9E7A}] => (Block) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [UDP Query User{6C647231-5D3B-41B0-A86E-D4A0904926DA}C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe] => (Allow) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [TCP Query User{B5F6BE19-0325-41EE-BF86-EB39E81D88BA}C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe] => (Allow) C:\users\daniil\appdata\local\programs\com.wsa.a10\app-torrent-igruha.exe => Нет файла
FirewallRules: [UDP Query User{AA5FB99E-F32D-426B-889E-6C7068FA077A}C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [TCP Query User{5A5E0E02-1721-4797-86E6-7AEFF52EB66A}C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [TCP Query User{530E059A-1B72-4681-8B84-A0C1D9FB7C59}C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Allow) C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Нет файла
FirewallRules: [UDP Query User{989540DF-67E8-423F-9E17-E71A78630A18}C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Allow) C:\users\daniil\onedrive\рабочий стол\metaverse_suai\build_03_09_2023_v2\suai-metaverse_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Нет файла
FirewallRules: [{0FBC7089-144C-47E4-9C24-FF73CD3593FE}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{3EEFA5F7-E0B6-44C8-BF94-BF188983AE5B}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
FirewallRules: [TCP Query User{4FAF2814-3C5C-4320-879E-C83F673292BE}C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [UDP Query User{B77CC049-043C-4919-8CD0-1247D3B233A4}C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe] => (Allow) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [{44EC0919-18DF-4745-A471-584BC4011CDF}] => (Block) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [{2B781F30-E328-4728-B194-572C8D143CF9}] => (Block) C:\users\daniil\appdata\local\discord\app-1.0.9024\discord.exe => Нет файла
FirewallRules: [TCP Query User{3441374D-34D3-420F-AB0E-1A92371D4C11}C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe] => (Allow) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [UDP Query User{0BC1277B-99FB-4F52-80B6-AD6E91CAD1AE}C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe] => (Allow) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{08329CF3-A9CE-41FF-A4DB-49E9B3E5EC3C}] => (Block) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{CAA4423E-AF67-46D9-808A-D3D2794F184D}] => (Block) C:\program files\jetbrains\jetbrains rider 2023.2.3\bin\rider64.exe => Нет файла
FirewallRules: [{58B5B040-91F4-42A8-A9DF-7DB5E3EDCBAE}] => (Allow) C:\Users\Daniil\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{F63F07E1-B695-4F6B-9181-EE9E7E007EF5}] => (Allow) C:\Users\Daniil\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{BBFDD6D2-A9A4-4B72-8B55-B4F970AD61B4}] => (Allow) C:\Users\Daniil\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{2AD3E221-24C3-4C00-89A4-1099D1EE226E}] => (Allow) C:\Users\Daniil\MediaGet2\QtWebEngineProcess.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Akmv
      Не удаляется NET:MALWARE.URL
      От Akmv
      Добрый вечер. Прошу помощи!

      Изучил "другие темы", та же проблема - не удаляется NET:MALWARE.URL - https://imgur.com/a/aDrVvgh
      Виндос переустановлен сегодня утром (24 июля в 12-00 мск~), но уже откуда-то майнер и эта дрянь...

      Коннектер лог прикрепил.

      По рекомендациям хелперов скачал Farbar Recovery Scan Tool, поставил галочки и на 90 дней сделались два файла, прикрепляю их в архиве.
       
      Что делать дальше -- не понимаю, прошу помощи. Хочется, чтобы компик жил.
      FRST.zip
      CollectionLog-2024.07.24-23.05.zip
    • Valentin1
      Как удалить mem:trojan.win32.sepeh.gen
      От Valentin1
      Появилось вредоносное ПО mem:trojan.win32.sepeh.gen. При каждой попытке вылечить с помощью Kaspersky Standart, появляется заново. 
      CollectionLog-2024.07.23-01.26.zip
    • clenup
      Проверка на вирусы
      От clenup
      Добрый вечер. Хочу проверить Комп на вирусы.
      Kaspersky Virus Removal Tool; Dr.Web CureIt! не чего не нашли.
      CollectionLog-2024.07.17-17.38.zip
    • Averfak
      Помогите пожалуйста!
      От Averfak
      подхватил расширения называются mvpn и adblocker при удалении и перезагрузке они восстанавливаются, помогите а то в этом плане вообще ничего не знаю!😢
    • Skittle
      Вирус грузит ЦП, блочит пуск и поиск
      От Skittle
      Добрый день, помогите пожалуйста с проблемой.
        Новое железо + свежая винда, но был перенесен один из старых SSD с рабочими файлами, форматировать под чистую никак :( И вместе видимо какая-то зараза перенеслась
      При открытом диспетчере все отлично, если закрыть диспетчер и через какое-то время открыть снова то видно как нагрузка ЦП падает с ~50 до 2%. Так же раз через раз после перезагрузки в винде блочится пуск. На другом компе куда старые диски и файлы не переносились та же самая винда чувствует себя прекрасно
        
      CollectionLog-2024.07.16-17.42.zip
×
×
  • Создать...