Здравствуйте! Защитник Windows обнаружил PUA:Win32/Presenoker, им оказался waspwing.exe. Я удалил его через защитника. Также нашёл на компьютере файл wasp.exe. Не стал его удалять пока что, решил обратиться за помощью.
Обнаружил на компьютере wasp.exe и waspwing.exe
Здравствуйте! Защитник Windows обнаружил PUA:Win32/Presenoker, им оказался waspwing.exe. Я удалил его через защитника. Также нашёл на компьютере файл wasp.exe. Не стал его удалять пока что, решил обратиться за помощью.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) dimakill3, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\ProgramData\windows\profile\dllhostn.exe', ''); DeleteFile('C:\ProgramData\windows\profile\dllhostn.exe', ''); DeleteFileMask('c:\programdata\windows', '*', true); DeleteDirectory('c:\programdata\windows'); DeleteSchedulerTask('Driver Booster SkipUAC (Dmitry)'); DeleteSchedulerTask('Microsoft\Windows\Location\Location'); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT'); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте его через этот сервис.
После получения результатов дайте ссылку на отчёт.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".Отчёт о работе прикрепите.Код:>>> "C:\Users\Dmitry\Desktop\Программы\XCP-ng Center.lnk" -> ["C:\Program Files (x86)\XCP-ng Center\XCP-ng Center.exe"] >>> "C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\.NET v4.5\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Windows\ServiceProfiles\OracleOraDB18Home1TNSListener\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Dmitry\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Windows\ServiceProfiles\OracleServiceXE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Dmitry\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Windows\ServiceProfiles\OracleVssWriterXE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Dmitry\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Windows\ServiceProfiles\OracleOraDB18Home1MTSRecoveryService\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Dmitry\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Users\Dmitry\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Dmitry\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Windows\ServiceProfiles\SQLTELEMETRY$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Dmitry\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\Windows\ServiceProfiles\MSSQL$SQLEXPRESS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk" -> ["C:\Users\Dmitry\AppData\Local\Microsoft\OneDrive\OneDrive.exe"] >>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity 2019.4.29f1 (64-bit)\Unity Documentation.lnk" -> ["C:\Program Files\Unity\Hub\Editor\2019.4.29f1\Editor\Data\Documentation\en\Manual\index.html"]
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.Код:O21 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\Program Files\Common Files\TortoiseOverlays\TortoiseOverlays.dll O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Всё сделал, только из сервиса не приходит код на почту.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: 2021-10-25 18:05 - 2021-11-09 02:41 - 000000000 _RSHD C:\ProgramData\Windows FirewallRules: [{FC4A8B43-98A6-4C57-865C-C913D5027719}] => (Allow) C:\Users\Dmitry\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{E2571B04-0AC9-4C58-B337-D3CBCB89CC3E}] => (Allow) C:\Users\Dmitry\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{E1F5CBC3-162C-45CC-B5C9-A3080BB1A445}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла FirewallRules: [{D9A68CB4-26C4-43D9-8FCB-06ADA4870621}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла FirewallRules: [{D9AACB7B-871F-490E-B9D9-36170BEBA61F}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла FirewallRules: [{6D8E00FE-6A0A-40B9-A651-0D8AB4BD3072}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла FirewallRules: [{68C749F0-7A1F-4950-BE07-1DAC90082B61}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла FirewallRules: [{B26B6ECC-42B7-4F42-B1BD-7092C91CE3F5}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла FirewallRules: [{D3B60440-17DF-4CE0-B4B6-1CF37BE63888}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла FirewallRules: [{385BD10C-8360-4883-93C6-716F4D56E7C0}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла FirewallRules: [{58CB99A2-F776-4D10-AACC-A1D544C5E19E}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла Reboot: End::
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Спасибо, помогли. Файлов больше нет на компьютере.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Уважаемый(ая) dimakill3, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
