Обнаружил на компе Trojan:Win32/Wacatac, удаляет всё что связано с Kasper*** и т.д., с помощью загрузочной флешки от касперского пытался его удалить но безуспешно

[Sandor]

Покажите содержимое папки E:\Autologger

 

+

Переделайте логи FRST с отмеченным пунктом "90 Days Files"

[Albert_1777]

Только что, Sandor сказал:

Покажите содержимое папки E:\Autologger

 

+

Переделайте логи FRST с отмеченным пунктом "90 Days Files"

 

FRST(2).zip

[Sandor]

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

[Albert_1777]

Только что, Sandor сказал:

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

После распаковки сам файл не видно, если его переименовать например в тест и т.д., то видно. Вирус этот автологер тоже блокирует

[Sandor]

Чуть позже подключится один из разработчиков Автологера.

[Albert_1777]

хорошо, спасибо Вам большое

[regist]

А если скачать AVZ отсюда, то запускается?

[Albert_1777]

Только что, regist сказал:

А если скачать AVZ отсюда, то запускается?

Да, запустился

[regist]

1 час назад, Albert_1777 сказал:

Да, запустился

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

[Albert_1777]

13 часов назад, regist сказал:

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

Распакованный автологер av_z.exe также скрывается и его не видно. При выполнении скрипта ранее скачанным AVZ папка с логами пустая

[regist]

10 минут назад, Albert_1777 сказал:

Распакованный автологер av_z.exe также скрывается и его не видно.

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
2. Временно отключите драйверы эмуляторов дисков.
3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

[Albert_1777]

Только что, regist сказал:

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
2. Временно отключите драйверы эмуляторов дисков.
3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

"Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат" - что означает воспроизведите проблему, подскажите пожалуйста

[Sandor]

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

[Albert_1777]

17 минут назад, Sandor сказал:

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

1. https://yadi.sk/d/PaxlwdI8vdUQNQ

2. https://my-files.su/2zc3lq

Лог Gmer также прикрепляю

gmer.log

[regist]

30.11.2020 в 07:33, Sandor сказал:

27.11.2020 в 13:46, Albert_1777 сказал:

Trojan:Win32/Wacatac

Чем обнаружили?

 

30.11.2020 в 07:36, Albert_1777 сказал:

Обнаружил с помощью Kaspersky Rescue Disk на загрузочной флешке.

Это детект явно не касперского. Заархивируйте и выложите папку

C:\KRD2018_Data\