Перейти к содержанию

Как удалить Trojan.Tamaca или win.exe.


AlexFX

Рекомендуемые сообщения

Привет ребят.
Не давно наткнулся на вирус Trojan.Tamaca, и хотел бы вам рассказать как его удалить, так как не нашел об этом ничего на других форумах. :lol:
 
Начнём...
 
Для начала нам нужно узнать есть ли эта зараза на вашем компьютере.
Сделать это можно запустив диспетчер задач Windows [LCTRL+LSHIFT+ESC].
И в списке ваших процессов ищем Win.exe.
 
Приступим к его удалению.
 
Для начала заходим в папку в которой лежит данная зараза, в основном она распостраняется по диску C.
В большинстве случаев она лежит в двух папках [temp и log].
Заходим в папку temp [WIN+R] и в появившемся поле вводим %TEMP% и нажимаем Enter. 
 
Мы попали в директорию с временными файлами Windows.
 
Тут ищем две папки с названиями "win" и "Microsoft©
Заходим в директорию win. Тут мы видим файл с названием win.exe.
Изменяем его расширение на любое например win.file.

После этого перезапускаем ПК.
 
После того как мы выполнили перезапуск, снова открываем TEMP [Win+R].
Теперь мы заходим в директорию Microsoft©.
В ней мы тоже можем найти файл с названием Win.exe, только первая буква будет заглавной.
И также ставим любое расширение, для примера снова возьму Win.file. 
 
 Первая часть пути пройдена. :ura:
    Дальше проверяем директорию APPDATA.[В строке проводника %appdata%] на наличие подозрительных файлов, папок.
Далее желательно просмотреть или вспомнить программы которые вы устанавливали не давно.
]Если там находится программа которую вы считаете подозрительной, либо программа которую вы вообще не устанавливали, то желательно удалите её. Сделать это можно с помощью встроеной в Windows функции "Программы и Компоненты".
 
Потом проверяем корень диска C, возможно вы там тоже найдете папку с похожим названием, с ней проведите те же действия что я описал выше.
 
Также желательно проверьте папку с установленными программами ProgrammFiles(x86) и ProgrammFiles.
 
После всех проведенных операций проверяем компьютер каким либо сканнером [MalwareBytes Kaspersky Cureit Zemana] (Не реклама).
 
Спасибо, если я вам помог оцените и напишите об этом в комментарии.
Всем удачи, и не попадайтесь на вирусы. :lol: :cool2:

Изменено пользователем AlexFX
Убран крупный шрифт
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Alexey78
      От Alexey78
      WINDOWS-11  - лицензия.
      Установлена на SSD. Всегда винда грузилась 10+ сек.
      И Вдруг начала долго загружаться. примерно 7-10 минут Чёрный экран и внизу кольцо крутится.
      Точно также долго грузится и в безопасном режиме.
      Все решения которые публикованы в интернете перепробовал. НЕ помогает.

      Конфиг компа:
      AMD Ryzen 9 5900X, X570 AORUS ELITE, Corsair Vengeance LPX 16x2Gb, RTX4090

      Диагностика SSD на котором стоит Винда.
      Ко

      Соберу  любые логи или ещё что-то может быть надо.
      только прошу, помогите (((
       
    • DuSTRi
      От DuSTRi
      Здравствуйте, проблема в следующем. На компьютере не запускается диспетчер задач (в безопасном работает), .exe файлы не запускаются вообще, либо через минуты 2 выскакивает уведомление что не достаточно прав, хотя запуск происходит с учетной записи администратора (даже если принудительно нажать запуск от имени администратора.
      Так же не работает Word во всех режимах. Сам компьютер работает вроде бы без нагрузки.  Точек восстановления нет.
      Утилиту Avz получилось запустить только в безопасном режиме.
      Стандартные средства windows обнаруживают Trojan:win32/wacatac.b!ml
      CollectionLog-2023.04.08-12.06.zip
    • Артур Ахметшин
      От Артур Ахметшин
      Доброго времени суток.

      Столкнулся с одной проблемой, связанной с исполнительными файлами Lsass.exe и  sys.exe
       
      Где-то с пару недель назад, начал сталкиваться с тем, что мои фаерволл Comodo, начал придираться к файлу Lsass.exe. 
      Почитал в интернете, что для этого файла свойственно возбуждать интерес к антивирусам, ввиду его специфики работы,  с транзитом данных из интернета.
       
      Но вот с неделю назад, столкнулся со случаем "Критическая ошибка системы, перезагрузка через минуту".
      После пары-тройки случаев, решил найти источник проблемы.
      Это оказалась блокировка Фаерволлом парочки файлов, указанных выше.
       
      Я не новичок в вопросах борьбы с вирусами и рекламным ПО. Много лет, сталкиваясь с таким, бывало, что вычищал вручную, не надеясь на 100% работу антивирусов и прочих защитных утилит.
      Поэтому, я зашел в папку "System32" и  посмотрел даты создания файлов, точную информацию к ним.
      У файла Lsass  не было проблем с подлинностью. Стояла дата изменения в 2015 году, подпись Майкрософта.
       
      А вот у sys.exe -  почему-то была свежая дата, буквально с пару дней "изменения". И в разделе "Корпорация", стояли китайские иероглифы.
      Я скопировал файл в отдельную папку, открыл его программой, для просмотра EXE файлов. Увидел кучу иконок.
      Это основная иконка файла Sys.exe
      Внутри же, увидел кучу элементов интерфейса, которые очень были похожи на те, что используются в Аудио и Видеоплеерах. Стрелочки, квадратики, знаки паузы.
      Поискал информацию по "поиску картинок"  - набрел на китайский сайт, который рекламировал "Программное обеспечение к ПК", и уверенность в том, что это был медийный софт, только возросла.
       
      Отключил стандартный антивирус Виндоус, поставил Касперского Free.   Ну он начал "лечить" этот sys.exe, удалениями.
      Но когда работает интернет, происходит следующее, если верить Фаерволлу Комодо:
      1) LSASS.EXE откуда-то воссоздает процесс  sys.exe (вес 1.5 мб с копейками). Возрождает файл, на прежнем месте. С теми же китайскими иероглифами, и сомнительной репутацией,что и у копии, до удаления.
      2) Затем, получается, что уже sys.exe пытается начать "активность", и натыкается на защиту ФВ и АВ. Удаляется.
      3)Периодически, происходит  крах системы. Через сообщение о "Критической ошибке" или реже, через BSOD.
       
      Учитывая, что файл Lsass.exe постоянно активен, я так понял, что очень важен для функционирования ОС. И заменить его, скачанным из интернета, во время работы ОС, как бы не представляется возможным.
      Копий этого файла в папке System32  - нет, написанных через "И" и тд.
       
      Есть ли возможность проследить и нейтрализовать источник, отвечающий за восстановление этого "sys.exe", с сомнительной репутацией "Китайского ПО"?
       
      (Windows 7 Домашняя 32бита SP1)
       
    • Nikolay Kulikov
      От Nikolay Kulikov
      Администриую KSC в больнице примерно на 700 машин и иногда в отчетах о вирусах замечаю, что некоторые названия зараженных исполняемых файлов имеют около-медицинскую тематику, например: oms.exe или kardio.exe. Конечно эти файлы могли быть скачаны из интернета, но все таки мне это кажется странным, т.к. такой вариант маловероятен. Может это целенаправленная атака? Но опять же слишком продолжительная и безуспешная (наверное). Что же это? Почему некоторые зараженные файлы имеют "медицинское" название?
    • organica
      От organica
      Здравствуйте эксперты.
      Проблема в следующем. Параллельно в Диспетчере Задач висит несколько EXE процессов, запущенных от имени системы. В частности IEXPLORER, klwtblfs, Опера (висела, её прибил каким-то местным скриптом для AVZ, не запомнил точно откуда взял его). Система начинает периодически дико виснуть. Антивирус не видит "поганца". Ни под Вин, ни под Касперский_СпасДиск_10, ни с другой машины при подключении заражённого винчестера. Аналогично не видит ни VRT_11, ни Веб_CureIt.
      Примечательно - при сканировании штатным КАВ14 "поганец" самовыгружается, что по описаниям в сети наталкивает на мысль о каком-то полиморфе.
      Спасибо.
      Логи+ скрин таскменеджера:
       
      virusinfo_syscheck.zip
      virusinfo_syscure.zip
      info.txt
      log.txt

×
×
  • Создать...