Перейти к содержанию
Правила раздела

Trojan:Win32/Wacatac.B!ml

helnmiir

Автор helnmiir,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

helnmiir

helnmiir 0

Опубликовано
Опубликовано

Здравствуйте! Подцепил троян при  распаковке утилиты из архива. Самостоятельно вывести не получилось. Видел решёный топик — topic/87381 с приложенным скриптом, только т.к. не компетентен в данном вопросе, лучше уточню что именно сделать в моей ситуации. Ниже прикрепляю архивы из CollectionLog и Farbar Recovery Scan Tool. Заранее благодарю за ответ.

CollectionLog-2022.07.04-18.32.zip frst_addition.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 135

Опубликовано
Опубликовано

Здравствуйте!

 

Кроме того, что Защитник среагировал на некоторые файлы, какие-то ещё внешние признаки заражения наблюдаете?


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Advanced SystemCare

IObit Uninstaller 11

Smart Defrag 6

 

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
helnmiir

helnmiir 0

Опубликовано
  • Автор
Опубликовано (изменено)

Здравствуйте!

Изначально не мог удалить файл который при заражении появился, затем при перезагрузке/включении ноутбука в долю секунды открывалось и пропадало два окна терминала — так как это происходило очень быстро, то возможности увидеть что там было нет.

Отчёт прикрепляю.

Также у меня в автозагрузке 4 строки с надписью "program" о которых я ничего не знаю. Подскажите, пожалуйста, утилиту или как я могу вручную полностью убрать всё лишние процессы?

Заранее благодарю за ответ.

На данный момент после выполненных действий и перезагрузке терминалы не появлялись.

AdwCleaner[S00].txt

Изменено пользователем helnmiir
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 135

Опубликовано
Опубликовано

Чем из предустановленного ПО от Lenovo не пользуетесь, удалите стандартно, через Удаление программ. Тут в AdwCleaner отмечать его галочками не нужно.

Остальное чистим:

 

1. 

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 135

Опубликовано
Опубликовано

Отчёт AdwCleaner[C00].txt тоже покажите.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {A112C952-56EF-4C25-A106-DA593659C7F4} - System32\Tasks\ASC_SkipUac_helnmiir => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Нет файла)
Task: {E91EC239-004B-45B8-AB55-BAF96998AA90} - System32\Tasks\ASC_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe /Task (Нет файла)
FF user.js: detected! => C:\Users\helnmiir\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2021-05-04]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ВНИМАНИЕ
S2 AdvancedSystemCareService15; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
S3 AscFileControl; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileControl.sys [X]
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
S3 iobit_monitor_server2021; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> Нет файла
ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
helnmiir

helnmiir 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте. 

Некоторое время не было возможности посетить форум, на данный момент вроде как ничего не находит.

Благодарю Вас за помощь.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 135

Опубликовано
Опубликовано

Хорошо, спасибо, что ответили.

 

Завершающие шаги:

 

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • javiso
      trojan:win32/wacatac.b!ml
      От javiso
      При серфинге скачался какой-то архив, что-то похожее на расширение для хрома. Защитник Windows сообщил об этом вирусе. Все проверилось, а в истории он остался отмечен как неудаленный без возможности удалить. Установленный Касперский вирус не нашел. 
      Подскажите, как точно от него избавиться и все проверить?
      Вроде он, непонятно было получилось ли "вовремя" отменить загрузку, но антивирус Windows успел заметить этот файл.

    • jumpmvn
      Trojan:Win32/Wacatac.H!ml
      От jumpmvn
      Скачал программу для монтажа Sony Vegas Pro 20 и поймал троян!
      Для правильной установки говорилось что нужно выключить системный антивирусник, я это сделал и установил программу, после чего ноут начал жёстко шуметь кулерами, и загружался процессор, температура стала 90С 

      После чего я удалил программу и включил антивирусник чтобы проверить наличие вирусов, и выходит следующая ситуация антивирусник нашёл троян Trojan:Win32/Wacatac.H!ml



      p/s вирус проник и начал действовать и переобулся в системные файлы hosts из за того что я выключил системный антивирусник 
      далее при открытии диспетчера задач все проблемы пропадают и вирус скрывается и перестаёт нагружать систему
      при всём при этом если выключить интернет то он тоже не начинает свои вредоносные деяния  

      Антивирусник виндовс почему то не может удалить этот троян хоть и обнаруживает его 
      Пробовал стороннюю программу Dr. Web сканировал обычно, и полностью диск (у меня всего один диск) выявило одну угрозу но при этом ничего не изменилось 
      после этого ещё раз делал несколько проверок и в эти разы он ничего не находил и говорил что всё ОК 

      Никогда не сталкивался с таким и никогда не писал на форумы так что извиняюсь если пишу как то не по канонам, вы моя последняя надежда 
    • AxelTempesko
      [РЕШЕНО] Обнаружено: Trojan:Win32/Wacatac.A!ml
      От AxelTempesko
      Здравствуйте!
      Сегодня, ни с того ни с сего, файлы установленного раннее Фотошопа (которым я пользуюсь больше одного года) стали восприниматься Защитником Windows как Trojan:Win32/Wacatac.A!ml , что привело к моментальному удалению файлов самим Защитником. Данных файлов по данному пути больше нет, но сообщение об активном трояне остаётся в журнале сканирования. Возможно, ложное срабатывание, но я решил сделать всё по инструкции, проверил систему через Kaspersky Virus Removal Tool и Dr.Web CureIt!, угроз не обнаружено.
      Но! При скачке AutoLogger - архив или .exe файл тоже воспринимается как Trojan:Win32/Wacatac.H!ml , и моментально удаляется Защитником, при этом оставляя сообщение "Исправление не завершено" в журнале защиты.
      Как быть в данной ситуации?


    • Lamwarld
      У меня на пк после установки кряка появилось два Trojan-а.
      От Lamwarld
      В общем, я хотел установить FL studio 20 и собственно установил. Запустил, а затем kaspersky security cloud выдает такое: UDS:Trojan.Win64.Miner.a по такому пути:
      C:\Program Files\Google\Chrome\updater.exe
       
       и  Trojan.Win32.Hosts2.gen по такому пути:
      C:\Windows\System32\drivers\etc
       
      Если что я не знаю, как искать логи и всё такое. Буду благодарен, если вы мне объясните. 😓
      Также я удалил FL studio 20, пробовал чистить Malwerbytes, Malwerbyter anti-malware и Dr.Web cureit.
      Если я нажму "Устраить", то она будет бесконечно крутить и загружаться, а еще, если я нажму "Лечить компьютер с перезагрузкой"(Или же без), то я не смогу ничего открыть. Ни проводник, ни диспетчер задач, ни смогу зайти в браузер, даже у Windows начальный экран не смогу открыть. 
       

    • Aleksey123123
      [РЕШЕНО] Виндовс дефендер заметил вирус Trojan:Win32/Wacatac.B!ml, хотя я ничего не скачивал.
      От Aleksey123123
      Доброго времени суток! На своём компьютере пользовался такой программой как PascalABC.NET, скачанной естественно с официального сайта. Программа была установлена на компьютере ещё достаточно давно, ею неоднократно пользовались. Но сейчас, когда я дописал свой код, то запустил его чтобы проверить, что всё работает. Сначала вроде бы ничего не произошло, но после пары проверок, виндовс написал что данный файл должен быть проверен администратором(или что то вроде того). После этого сам PascalABC выдал ошибку, мол .exe файл не найден, а потом сама винда начала жаловаться что нашла данный вирус. Сейчас множество раз нажимаю на кнопку быстрая проверка, после каждой такой проверки он находит данный вирус снова, я нажимаю удалить, потом снова быстрая проверка, но этот вирус опять находится. Прошу помогите!
      Вот код, который я писал в PascalABC:
      program abc;
      const n = 10;
      var
        a : array[1..n] of integer;
        b : array[1..n div 2] of integer;
        i,j : integer;
      begin
        for i:= 1 to n do a:= random(100);
        writeln(a);
        for i:= 1 to n div 2 do begin
          j += 2;
          b:= a[j-1] + a[j];
        end;
        writeln(b); j:= 0;
        for i:= 1 to n div 2 do begin
          j += b;
        end;
        writeln(j);
      end.

×
×
  • Создать...