Перейти к содержанию
Правила раздела

Обнаружил на компе Trojan:Win32/Wacatac, удаляет всё что связано с Kasper*** и т.д., с помощью загрузочной флешки от касперского пытался его удалить но безуспешно

Albert_1777

Автор Albert_1777,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

  • Ответов 66
  • Created
  • Последний ответ

Top Posters In This Topic

  • Albert_1777

    32

  • regist

    17

  • Sandor

    16

  • Mark D. Pearlstone

    1

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

Albert_1777

Albert_1777 0

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Покажите содержимое папки E:\Autologger

 

+

Переделайте логи FRST с отмеченным пунктом "90 Days Files"

 

ALog.png

FRST(2).zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

Ссылка на сообщение
Поделиться на другие сайты
Albert_1777

Albert_1777 0

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Ещё уточнение - первоначально Автологер вы скачивали по этой ссылке или использовали скачанный ранее?

Если второе, попробуйте запустить правильный.

После распаковки сам файл не видно, если его переименовать например в тест и т.д., то видно. Вирус этот автологер тоже блокирует

2006968772_.thumb.png.841645f0509710a5427ce405764df108.png

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано
1 час назад, Albert_1777 сказал:

Да, запустился

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

Ссылка на сообщение
Поделиться на другие сайты
Albert_1777

Albert_1777 0

Опубликовано
  • Автор
Опубликовано
13 часов назад, regist сказал:

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Если, вдруг, не получится, то тогда в AVZ что скачали на предыдущем шаге выполните Файл - Стандартные скрипты- Скрипт №2 - полученный лог прикрепите.

Распакованный автологер av_z.exe также скрывается и его не видно. При выполнении скрипта ранее скачанным AVZ папка с логами пустая

Безымянный.png

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано
10 минут назад, Albert_1777 сказал:

Распакованный автологер av_z.exe также скрывается и его не видно.

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
  2. Временно отключите драйверы эмуляторов дисков.
  3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Albert_1777

Albert_1777 0

Опубликовано
  • Автор
Опубликовано
Только что, regist сказал:

Странно, по сути это тот же AVZ, что вы отдельно скачали, просто немного свежее и переименованный в другое имя.

 

 

Закройте все остальные программы. Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ).

 

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку).
  2. Временно отключите драйверы эмуляторов дисков.
  3. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  4. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  5. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  6. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Подробную инструкцию читайте в руководстве.

"Process Monitor -> воспроизведите проблему  -> Cохраните лог: меню File -> Save -> PML-формат" - что означает воспроизведите проблему, подскажите пожалуйста

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

Ссылка на сообщение
Поделиться на другие сайты
Albert_1777

Albert_1777 0

Опубликовано
  • Автор
Опубликовано
17 минут назад, Sandor сказал:

Проблем две:

 

1. Исчезновение AVZ из папки

2. После выполнения стандартного скрипта папка с логами пуста.

 

По очереди их и воспроизведите. Логи Process Monitor желательно сделать отдельно на каждый случай.

1. https://yadi.sk/d/PaxlwdI8vdUQNQ

2. https://my-files.su/2zc3lq

Лог Gmer также прикрепляю

gmer.log

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано
30.11.2020 в 07:33, Sandor сказал:
27.11.2020 в 13:46, Albert_1777 сказал:

Trojan:Win32/Wacatac

Чем обнаружили?

 

30.11.2020 в 07:36, Albert_1777 сказал:

Обнаружил с помощью Kaspersky Rescue Disk на загрузочной флешке.

Это детект явно не касперского. Заархивируйте и выложите папку 

C:\KRD2018_Data\

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
    • аноним99
      [РЕШЕНО] Помощь с удалением Wacatac.B!ml и Phonzy.B!ml (2)
      От аноним99
      По указанию консультанта создаю вторую тему и прилагаю данные со второго ПК (ПК А в первой теме)
      Прилагаю логи AutoLogger и данные Farbar Recovery Scan Tool
      CollectionLog-2024.03.08-15.09.zip Addition.txt FRST.txt
    • kptsv
      HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen
      От kptsv
      Добрый день.
      Kaspersky Security для Windows Server 10.1.2.996 выдает сообщение, что обнаружены троянские программы HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen. Проверка kvrt ничего не нашла. Dr.Web CureIt тоже ничего не нашел.
      Сообщение заносится в журнал каждый час. Как избавиться от напасти?
      CollectionLog-2024.02.29-08.17.zip kaspersky_log.csv.zip
×
×
  • Создать...