Перейти к содержанию
Правила раздела

Trojan:Win32/Wacatac.B!ml

rade

От rade
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

rade Новичок

rade

Опубликовано
Опубликовано

Здравствуйте.

 

Виндовс дефендер, на ряд программ выдает предупреждение - найден Trojan:Win32/Wacatac.B!ml.

Троян не ищется Касперским, ремовал тулсами от микрософт и не находится самим дефендером при проверке диска.

Предупреждение появляется только при запуске программы.

 

Лог прилагаю

 

Спасибо

CollectionLog-2023.02.08-11.07.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью YuKay (ВНИМАНИЕ: Пользователь не является Администратором)

 

Ссылка на комментарий
Поделиться на другие сайты
rade Новичок

rade

Опубликовано
  • Автор
Опубликовано
32 минуты назад, Sandor сказал:

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

 

Хорошо, переделаю. Ответ, если вы не возражаете, завтра. Сейчас компьютер недоступен. 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
Zip: c:\FRST\Quarantine\
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ссылка на комментарий
Поделиться на другие сайты
rade Новичок

rade

Опубликовано
  • Автор
Опубликовано
8 часов назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
Zip: c:\FRST\Quarantine\
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Fixlog.txt

 

Письмо отправить не удалось.

 

Пользователь mx.google.com отклонил ваше сообщение на следующие адреса электронной почты:

quarantine@safezone.cc (quarantine@safezone.cc)
Сообщение не доставлено, так как поставщик услуг электронной почты получателя отклонил его.

mx.google.com выдал это сообщение об ошибке:
This message was blocked because its content presents a potential security issue. Please visit https://support.google.com/mail/?p=BlockedMessage to review our message content and attachment content guidelines. r25-20020a2e9959000000b0027fd3c30a17si411469ljj.386 - gsmtp

 

возможно сообщение стоит заархивировать с паролем?

 

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
1 час назад, rade сказал:

заархивировать с паролем?

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

Ссылка на комментарий
Поделиться на другие сайты
rade Новичок

rade

Опубликовано
  • Автор
Опубликовано
13 минут назад, Sandor сказал:

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

image.png.63e5c271d74d0308254599f121035c76.png

 

Увы защитник ругается.
Файл отправил, пароль в теле письма.
 

Ссылка на комментарий
Поделиться на другие сайты
rade Новичок

rade

Опубликовано
  • Автор
Опубликовано (изменено)
10 минут назад, Sandor сказал:

В каком файле обнаруживает?

C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
 

 

это по нашего программиста из смежной канторы. я уже думаю, может в дефендере какие-то алгоритмы обновились, т.к. по не обновлялось и ранее на него не ругалось.
пробовал запускать с машины на которой ругается этот экзе файл с арандомной машины в сети - находит угрозу.
добавить программу в исключение, параноя не позволяет, вакатак в целом то серьезный вирус. 

Изменено пользователем rade
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
8 минут назад, rade сказал:

это по нашего программиста из смежной канторы

Что же вы сразу об этом не сообщили? :)

 

Напишите Microsoft о ложном срабатывании.

Ссылка на комментарий
Поделиться на другие сайты
rade Новичок

rade

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Что же вы сразу об этом не сообщили? :)

 

Напишите Microsoft о ложном срабатывании.

Спасибо. Простите, если зря потратил ваше время.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • aronone
      [РЕШЕНО] Нашел вирус Trojan:Win32/Dorv.A
      От aronone
      Здравствуйте, защитник виндовс нашел Trojan:Win32/Dorv.A , и еще PUABundler:Win32/uTorrent_BundleInstaller и PUADlManager:Win32/OfferCore , поместил в карантин и заблокировал, после проверил куррейтом и ничего не находит. Просьба помочь почистить пк. Вирус появился сразу после подключения к общему гостиничному вай фай, может быть это как то связанно
      cureit.zip CollectionLog-2024.11.30-15.34.zip
    • T23
      Trojan:Win32/Wacatac.H!ml
      От T23
      Пж помогите решить проблему.

    • Сергей3113
      Trojan:script/wacatac.b!ml в списке разрешенных угроз
      От Сергей3113
      В списке разрешенных угроз лежит 3 трояна, достать которые оттуда не выходит — постоянно возвращаются, хотя сканером их поидее удаляло.
      Так-же пробовал много утилит для удаления вирусов и сканирования ПК но тут тоже не задача, при открытии утилиты допустим (доктор веб) зависает окно а после выдает ошибку "windows не удается получить доступ к указанному устройству пути или файлу возможно у вас нет нужных разрешений для допуста к этому объекту" пробовал решить и эту проблему все без результата. Заходил в безопасный режим но там этих ошибок попросту нет, утилиты запускаются а троянов нет в разрешенных угрозах. Помогите решить эту проблему уже не знаю куда обращаться.
       


    • ZloyM
      Файлы зашифрованы. В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml
      От ZloyM
      Утром при входе обнаружилось, что файлы зашифрованы, имеется письмо с требованием денег.
      В журнале угроз Ransom:Win32/Sorikrypt и Trojan:Win32/Wacatac.H!ml - запушены утром пользователями, которые точно не могли это сделать.
      От интернета отключил. Если не отключать, то примерно раз в 10 минут пользователя выкидывает и при этом с флешки удаляются все файлы и на нее помещается копия письма с требованием денег.
      CureIt и KVRT нашли только RDPWrap.
      CollectionLog-2023.10.27-13.29.zip
    • Semz
      [РЕШЕНО] Trojan:Win32/Phonzy.A!ml
      От Semz
      Здравствуйте, скачивал недавно autodesk inventor . Попытавшись установить его, у меня заругался windows defender. Когда нажимаю "Применить действия - Удалить" ничего не происходит и вирус никак не может удалиться. У меня Windows 11. В диспетчере задач нету никаких неизвестных процессов. Так же когда пытаюсь извлечь образ диска, не получается. Вентиляторы вроде не крутятся, но тут хз, так как я комп не перезапускал. Доктор веб ничего не обнаружил . Причём дефендер мне предлагает перезагрузить комп, но после нажатия перезагрузить(в окне дефендера, этого не происходит)
      Причём переодически мне дефендер уведомления присылает 
×
×
  • Создать...