Перейти к содержанию
Правила раздела

Обнаружил на компе Trojan:Win32/Wacatac, удаляет всё что связано с Kasper*** и т.д., с помощью загрузочной флешки от касперского пытался его удалить но безуспешно

Albert_1777

Автор Albert_1777
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Покажите содержимое папки E:\Autologger

 

+

Переделайте логи FRST с отмеченным пунктом "90 Days Files"

  • Ответов 66
  • Создана
  • Последний ответ

Топ авторов темы

  • Albert_1777

    32

  • regist

    17

  • Sandor

    16

  • Mark D. Pearlstone

    1

Топ авторов темы

Изображения в теме

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Покажите содержимое папки E:\Autologger

 

+

Переделайте логи FRST с отмеченным пунктом "90 Days Files"

 

ALog.png

FRST(2).zip

Sandor

Sandor

Опубликовано
Опубликовано

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

После распаковки сам файл не видно, если его переименовать например в тест и т.д., то видно. Вирус этот автологер тоже блокирует

2006968772_.thumb.png.841645f0509710a5427ce405764df108.png

Sandor

Sandor

Опубликовано
Опубликовано

Чуть позже подключится один из разработчиков Автологера.

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
Только что, regist сказал:

А если скачать AVZ отсюда, то запускается?

Да, запустился

regist

regist

Опубликовано
Опубликовано
1 час назад, Albert_1777 сказал:

Да, запустился

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
13 часов назад, regist сказал:

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

Распакованный автологер av_z.exe также скрывается и его не видно. При выполнении скрипта ранее скачанным AVZ папка с логами пустая

Безымянный.png

regist

regist

Опубликовано
Опубликовано
10 минут назад, Albert_1777 сказал:

Распакованный автологер av_z.exe также скрывается и его не видно.

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
  2. Временно отключите драйверы эмуляторов дисков.
  3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
Только что, regist сказал:

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
  2. Временно отключите драйверы эмуляторов дисков.
  3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

"Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат" - что означает воспроизведите проблему, подскажите пожалуйста

Sandor

Sandor

Опубликовано
Опубликовано

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

Albert_1777

Albert_1777

Опубликовано
  • Автор
Опубликовано
17 минут назад, Sandor сказал:

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

1. https://yadi.sk/d/PaxlwdI8vdUQNQ

2. https://my-files.su/2zc3lq

Лог Gmer также прикрепляю

gmer.log

regist

regist

Опубликовано
Опубликовано
30.11.2020 в 07:33, Sandor сказал:
27.11.2020 в 13:46, Albert_1777 сказал:

Trojan:Win32/Wacatac

Чем обнаружили?

 

30.11.2020 в 07:36, Albert_1777 сказал:

Обнаружил с помощью Kaspersky Rescue Disk на загрузочной флешке.

Это детект явно не касперского. Заархивируйте и выложите папку 

C:\KRD2018_Data\

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Malorym_Inqyy
      [РЕШЕНО] Троян в бесплатном впн
      Автор Malorym_Inqyy
      Здравствуйте, вчера скачал бесплатный впн, заметил, что в диспетчере появился процесс который грузит мой процессор, из-за чего компьютер стал сильно гудеть. Прошу помочь!
      CollectionLog-2025.12.05-14.31.zip
    • Kkaj
      Trojan/Win32.Tiggre
      Автор Kkaj
      хочу установить приложение, закинул на вирус тотал https://www.virustotal.com/gui/file/e85efe251c012827fa88e7dfa266b46e0df8c234acb8b6a21ed3ea209748df80?nocache=1, касперский ничего не показал, ему хоть и доверяю больше но Antiy-AVL показывает троян(остальные китайские нн)
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов"
    • setl1ne
      [РЕШЕНО] Помогите устранить последствия присутствия майнера
      Автор setl1ne
      Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления, помогите вернуть систему к рабочему состоянию
    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


    • salad
      помогите удалить NET:MINERS.URL
      Автор salad
      Dr Web CureIt! обнаружил NET:MINERS.URL и не может его вылечить
      https://dropmefiles.com/kM9Ct - логи cureit
×
×
  • Создать...