Перейти к содержанию

Обнаружил на компе Trojan:Win32/Wacatac, удаляет всё что связано с Kasper*** и т.д., с помощью загрузочной флешки от касперского пытался его удалить но безуспешно


Рекомендуемые сообщения

Опубликовано

Покажите содержимое папки E:\Autologger

 

+

Переделайте логи FRST с отмеченным пунктом "90 Days Files"

  • Ответов 66
  • Создана
  • Последний ответ

Топ авторов темы

  • Albert_1777

    32

  • regist

    17

  • Sandor

    16

  • Mark D. Pearlstone

    1

Топ авторов темы

Изображения в теме

Опубликовано
Только что, Sandor сказал:

Покажите содержимое папки E:\Autologger

 

+

Переделайте логи FRST с отмеченным пунктом "90 Days Files"

 

ALog.png

FRST(2).zip

Опубликовано

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

Опубликовано
Только что, Sandor сказал:

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

После распаковки сам файл не видно, если его переименовать например в тест и т.д., то видно. Вирус этот автологер тоже блокирует

2006968772_.thumb.png.841645f0509710a5427ce405764df108.png

Опубликовано

Чуть позже подключится один из разработчиков Автологера.

Опубликовано
Только что, regist сказал:

А если скачать AVZ отсюда, то запускается?

Да, запустился

Опубликовано
1 час назад, Albert_1777 сказал:

Да, запустился

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

Опубликовано
13 часов назад, regist сказал:

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

Распакованный автологер av_z.exe также скрывается и его не видно. При выполнении скрипта ранее скачанным AVZ папка с логами пустая

Безымянный.png

Опубликовано
10 минут назад, Albert_1777 сказал:

Распакованный автологер av_z.exe также скрывается и его не видно.

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
  2. Временно отключите драйверы эмуляторов дисков.
  3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

Опубликовано
Только что, regist сказал:

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
  2. Временно отключите драйверы эмуляторов дисков.
  3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

"Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат" - что означает воспроизведите проблему, подскажите пожалуйста

Опубликовано

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

Опубликовано
17 минут назад, Sandor сказал:

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

1. https://yadi.sk/d/PaxlwdI8vdUQNQ

2. https://my-files.su/2zc3lq

Лог Gmer также прикрепляю

gmer.log

Опубликовано
30.11.2020 в 07:33, Sandor сказал:
27.11.2020 в 13:46, Albert_1777 сказал:

Trojan:Win32/Wacatac

Чем обнаружили?

 

30.11.2020 в 07:36, Albert_1777 сказал:

Обнаружил с помощью Kaspersky Rescue Disk на загрузочной флешке.

Это детект явно не касперского. Заархивируйте и выложите папку

C:\KRD2018_Data\

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bloodii
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • mkukgh
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
    • BReDD
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
    • Mikhazen
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
×
×
  • Создать...