Перейти к содержанию
Правила раздела

Trojan:Win32/Wacatac.B!ml

rade

Автор rade
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

rade

rade

Опубликовано
Опубликовано

Здравствуйте.

 

Виндовс дефендер, на ряд программ выдает предупреждение - найден Trojan:Win32/Wacatac.B!ml.

Троян не ищется Касперским, ремовал тулсами от микрософт и не находится самим дефендером при проверке диска.

Предупреждение появляется только при запуске программы.

 

Лог прилагаю

 

Спасибо

CollectionLog-2023.02.08-11.07.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью YuKay (ВНИМАНИЕ: Пользователь не является Администратором)

 

rade

rade

Опубликовано
  • Автор
Опубликовано
32 минуты назад, Sandor сказал:

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

 

Хорошо, переделаю. Ответ, если вы не возражаете, завтра. Сейчас компьютер недоступен. 

rade

rade

Опубликовано
  • Автор
Опубликовано
17 часов назад, Sandor сказал:

Хорошо, ждём.

Спасибо за ожидание. Выполнил сканирование с учетом вашего замечания.

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
Zip: c:\FRST\Quarantine\
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

rade

rade

Опубликовано
  • Автор
Опубликовано
8 часов назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
Zip: c:\FRST\Quarantine\
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Fixlog.txt

 

Письмо отправить не удалось.

 

Пользователь mx.google.com отклонил ваше сообщение на следующие адреса электронной почты:

quarantine@safezone.cc (quarantine@safezone.cc)
Сообщение не доставлено, так как поставщик услуг электронной почты получателя отклонил его.

mx.google.com выдал это сообщение об ошибке:
This message was blocked because its content presents a potential security issue. Please visit https://support.google.com/mail/?p=BlockedMessage to review our message content and attachment content guidelines. r25-20020a2e9959000000b0027fd3c30a17si411469ljj.386 - gsmtp

 

возможно сообщение стоит заархивировать с паролем?

 

 

Sandor

Sandor

Опубликовано
Опубликовано
1 час назад, rade сказал:

заархивировать с паролем?

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

rade

rade

Опубликовано
  • Автор
Опубликовано
13 минут назад, Sandor сказал:

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

image.png.63e5c271d74d0308254599f121035c76.png

 

Увы защитник ругается.
Файл отправил, пароль в теле письма.
 

rade

rade

Опубликовано
  • Автор
Опубликовано (изменено)
10 минут назад, Sandor сказал:

В каком файле обнаруживает?

C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
 

 

это по нашего программиста из смежной канторы. я уже думаю, может в дефендере какие-то алгоритмы обновились, т.к. по не обновлялось и ранее на него не ругалось.
пробовал запускать с машины на которой ругается этот экзе файл с арандомной машины в сети - находит угрозу.
добавить программу в исключение, параноя не позволяет, вакатак в целом то серьезный вирус. 

Изменено пользователем rade
Sandor

Sandor

Опубликовано
Опубликовано
8 минут назад, rade сказал:

это по нашего программиста из смежной канторы

Что же вы сразу об этом не сообщили? :)

 

Напишите Microsoft о ложном срабатывании.

rade

rade

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Что же вы сразу об этом не сообщили? :)

 

Напишите Microsoft о ложном срабатывании.

Спасибо. Простите, если зря потратил ваше время.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • leon4324
      Trojan:Win32/Wacatac.B!ml
      Автор leon4324
      скачал с сайта какого то кряк на вегас про 17, виндовс дефендер сразу начал ругаться кинул угрозу о том что появился троян Trojan:Win32/Wacatac.B!ml и дальше посыпалось открывание смд и повер шелов, сразу кинул на удаление трояна, посыпалось куча других. закрывал браузер и была какая то белая иконка в диспечере   сейчас он грузит это   дк вб присылает это, я не знаю че делать


      так же это приложение которое 6fk висит в диспечере
      вот логи
    • pxvel
      Trojan:Win32/Wacatac.B!ml
      Автор pxvel
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!
    • DNik
      Trojan:Win32/Wacatac.B!ml
      Автор DNik
      Здравствуйте. После скачивания zip-файлов вдруг антивирус решил выдать мне предупреждение об трояне. Раньше качал AutoLogger и антивирус вёл себя нормально, не нарекался. Читая некоторые статьи понял, что нет смысла пробовать удалить файлы через системный антивирус (я всё равно попробовал) и троян остаётся нетронутым.
       

      CollectionLog-2023.11.10-21.13.zip
    • Kaross
      [РЕШЕНО] Trojan:Win32/Wacatac.B!m
      Автор Kaross
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
×
×
  • Создать...