Перейти к содержанию
Правила раздела

Trojan:Script/Wacatac.B!ml и вирусы в списке разрешенных угроз

Larsvontrier

Автор Larsvontrier
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
StartRegedit:
Windows Registry Editor Version 5.00

[SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=-
"DisableOnAccessProtection"=-
"DisableScanOnRealtimeEnable"=-

EndRegedit:
StartBatch:
pushd\windows\system32
bcdedit.exe /set {default} recoveryenabled yes
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
wmic SERVICE where name="BITS" call changestartmode"manual"
wmic SERVICE where name="dcomlaunch" call changestartmode "automatic"
wmic SERVICE where name="rpceptmapper" call changestartmode "automatic"
wmic SERVICE where name="rpcss" call changestartmode "automatic"
wmic SERVICE where name="usosvc" call changestartmode "delayedautomatic"
wmic SERVICE where name="sdrsvc" call changestartmode"manual"
wmic SERVICE where name="msiserver" call changestartmode"manual"
wmic SERVICE where name="trustedinstaller" call changestartmode"manual"
wmic SERVICE where name="vss" call changestartmode"manual"
wmic SERVICE where name="wuauserv" call changestartmode"manual"
wmic SERVICE where name="windefend" call changestartmode "automatic"
wmic SERVICE where name="wdnissvc" call changestartmode"manual"
wmic SERVICE where name="mpssvc" call changestartmode "automatic"
wmic SERVICE where name="securityhealthservice" call changestartmode "automatic"
endbatch:
startpowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
set-mppreference -mapsreporting basic -Force
set-mppreference -DisableRealtimeMonitoring $false -Force
set-mppreference -DisablePrivacyMode $true -Force
set-mppreference -DisableIOAVProtection $false -Force
set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
set-mppreference -PUAProtection enabled -Force
Update-MpSignature
Start-MpScan -ScanType QuickScan
Remove-MpThreat
set-mppreference -quarantinepurgeitemsafterdelay 1 -force
set-mppreference -scanquarantinepurgeitemsafterdelay 1 -force
endpowershell:
startpowershell:
Get-MpComputerStatus
get-mppreference
get-mpthreatdetection
endpowershell:
CreateRestorePoint:
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
exportkey: hkcu\software\classes\ms-settings\shell\open\command
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
exportkey: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
emptytemp:
cmd: del /s /q "C:\WINDOWS\SysWOW64\*.tmp"
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
1 час назад, Larsvontrier сказал:

еще заметил в исключениях в защитнике винды

Сейчас попробуйте их удалить.

И разрешенные угрозы тоже если есть, пробуйте удалить.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Как понимаю, в итоге установилась.

Повторите сканирование и удалите (поместите в карантин) только

Цитата

Файл: 
Trojan.Agent.E, C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE, Проигнорировано пользователем, 3601, 717813, 1.0.47539, , ame, , , 

 

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
startpowershell:
Set-MpPreference -ScanPurgeItemsAfterDelay 5
endpowershell:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Нет, не несут.

Пока ждём, проверим следующее:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Elly
      19 лет клубу! Изучаем красоты России. Списки в поездку
      Автор Elly
      Друзья!
      В 19ый день рождения Клуба мы совершим удивительное путешествие в одну из самых живописных и самобытных республик России - Дагестан.
      Дагестан поражает своей природной красотой — величественные горы, зелёные долины, бурные реки и чистейшие озёра создают великолепные пейзажи, способные восхитить даже самых искушённых путешественников. Поездка по перевалам, где сквозь облака открываются умиротворяющие виды на величественные скалистые пики, дарит необыкновенные эмоции и ощущение единения с природой.
       
      Увлекательные экскурсии, знакомство с местной кухней — это настоящая гастрономическая феерия, которая запомнится надолго.
      И, конечно же, веселье и дружеские посиделки!
      Присоединяйтесь к нашему невероятному приключению и откройте для себя Дагестан, его красоты и душу!
       
       
       
      А теперь перейдем к главному!
       
      Поездка состоится с 21 августа по 24 августа 2025 года.
      20 августа к 15.00 мы приглашаем всех желающих (совершенно всех форумчан, а не только участников поездки) в офис компании (ограничение - 40 человек). Указанное время ориентировочное и может изменяться. Там вас ждут выступления экспертов "Лаборатории Касперского" и конечно же общение  Списки для посещения офиса мы составим дополнительно.
      После встречи в офисе приглашаем на ужин в Баркас.
      21 августа утром у нас вылет.
      24 августа в 18.00 возвращаемся в Москву.
       
      Условия поездки:
      Для поездки выделено 18 мест. В поездку мы приглашаем участников в соответствии с финальным рейтингом сезона 2024-2025. Для иногородних (кроме Москвы и МО) оплачивается одна ночь в Москве с 20 на 21 августа. Отель выбирает компания, количество мест ограничено. Компания организует трансфер по маршруту офис-аэропорт. Мы приглашаем в поездку только совершеннолетних. Убедитесь, что у вас есть необходимые документы для поездки и нет запрета на полёт до пункта назначения. Срок ответа для первого списка до 17 июня 17.00 (время московское), далее список будет пополняться по мере отказов участников, внимательно следите за списком. Сроки ответа для добавленных в списки приглашенных участников - 2 дня от даты добавления участника в список.  
      Список приглашенных
       
       
      Отказ:
       
    • ClausePixel
      [РЕШЕНО] NET:MALWARE.URL угроза
      Автор ClausePixel
      Подскажите проверил компьютер через Dr.web.Cureit, нашел странную угрозу, но не могу ее удалить net:malware.url
      лог прикладываю
       
      cureit.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
    • nooky910
      [РЕШЕНО] Бесконечный вирус
      Автор nooky910
      Добрый день. Заметил, что при играх резкая просадка фпс началась. Лечил 2 таблетками, но безуспешно. Бесконечно создается сам. Так же был замечен xmring miner, но таблетка его вроде пыталась удалить. 


       
      CollectionLog-2025.05.24-17.36.zip
×
×
  • Создать...