Троян Proxy/Win32/Jumper/gen

[EvgeniyF]

Добрый день, на компьютере завелся троян. Касперский антивирус проводит лечение, но удалить вирус не может. Помогите справиться с проблемой.
 

[andrew75]

Порядок оформления запроса о помощи

[EvgeniyF]

Спасибо! Прикрепляю логи.
  

CollectionLog-2026.03.11-14.15.zip

[Sandor]

Здравствуйте!

 

Временно отключите антивирус и закачайте файл

Цитата

C:\Windows\system32\wire\wire.exe

на www.virustotal.com

 

Ссылку на результат анализа дайте следующим сообщением.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[EvgeniyF]

C:\Windows\system32\wire\wire.exe 
Файла нет по этому пути. 

Есть вот тут,
C:\Windows\SysWOW64\wire
но при попытке отправить его на анализ он пишет, что файл сейчас используется и не даёт загрузить на сайт. Попробовать скинуть его через режим безопасной загрузки?

Логи сканирования  Farbar Recovery Scan Tool 

Addition.txt FRST.txt

[Sandor]

Попробуем его скриптом получить.

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  CloseProcesses:
  Folder: C:\Windows\SysWOW64\wire
  Zip: C:\Windows\SysWOW64\wire\wire.exe; C:\Windows\SysWOW64\wire\upWire.exe
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

[EvgeniyF]

Прикрепляю лог. 
Письмо отправил. 

Fixlog.txt

[Sandor]

Да, в архив не попал. Выполните, пожалуйста, этот же скрипт в безопасном режиме и отправьте новый архив ещё раз.

[EvgeniyF]

Архив появился, внутри есть файл.
Но почта не может прикрепить архив как вложение.

[Sandor]

Упакуйте ещё раз этот zip файл, только с паролем. Закачайте его на облако (или на любой файлообменник) и дайте ссылку на скачивание.

Не забудьте сообщить пароль.

[EvgeniyF]

Залил файл [ссылка]
пароль 123

Изменено 3 часа назад пользователем Sandor
Файл забрал, спасибо.

[Sandor]

Ещё такой скрипт выполните тоже в безопасном режиме:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  S2 wire; C:\Windows\SysWOW64\wire\wire.exe [346360 0] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
  S2 upWire; C:\Windows\SysWOW64\wire\upWire.exe [X]
  2026-03-02 15:49 - 2025-04-15 17:39 - 000000000 ____D C:\Windows\SysWOW64\wire
  FirewallRules: [{062964C6-3146-47D6-A8F5-FA9D05686FEA}] => (Allow) C:\Windows\SysWOW64\wire\upWire.exe => Нет файла
  FirewallRules: [{C5165C4D-470E-4129-AC19-DE7C9C7A8436}] => (Allow) C:\Windows\SysWOW64\wire\upWire.exe => Нет файла
  FirewallRules: [{5EEC5887-EE4A-48FE-A302-AFF656FA5FE9}] => (Allow) C:\Windows\SysWOW64\wire\wire.exe () [Файл не подписан] [Файл уже используется]
  FirewallRules: [{72FAA398-ADAE-4CE7-A02E-108BA63E435A}] => (Allow) C:\Windows\SysWOW64\wire\wire.exe () [Файл не подписан] [Файл уже используется]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[EvgeniyF]

Новый лог
 

Fixlog.txt

Касперский перестал ругаться на наличие трояна, до этого безостановочно показывал всплывающее окно.

 

[Sandor]

Отлично!

Судя по начальным логам, на системном диске было мало свободного места. Старайтесь держать его в пределах 15-20% от общего объема диска.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[EvgeniyF]

сделал проверку SecurityCheck
 

SecurityCheck.txt