Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

 

Виндовс дефендер, на ряд программ выдает предупреждение - найден Trojan:Win32/Wacatac.B!ml.

Троян не ищется Касперским, ремовал тулсами от микрософт и не находится самим дефендером при проверке диска.

Предупреждение появляется только при запуске программы.

 

Лог прилагаю

 

Спасибо

CollectionLog-2023.02.08-11.07.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью YuKay (ВНИМАНИЕ: Пользователь не является Администратором)

 

Ссылка на сообщение
Поделиться на другие сайты
32 минуты назад, Sandor сказал:

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

 

Хорошо, переделаю. Ответ, если вы не возражаете, завтра. Сейчас компьютер недоступен. 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
    C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
    FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
    FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
    FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
    Zip: c:\FRST\Quarantine\
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    (TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
    C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
    FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
    FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
    FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
    Zip: c:\FRST\Quarantine\
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Fixlog.txt

 

Письмо отправить не удалось.

 

Пользователь mx.google.com отклонил ваше сообщение на следующие адреса электронной почты:

quarantine@safezone.cc (quarantine@safezone.cc)
Сообщение не доставлено, так как поставщик услуг электронной почты получателя отклонил его.

mx.google.com выдал это сообщение об ошибке:
This message was blocked because its content presents a potential security issue. Please visit https://support.google.com/mail/?p=BlockedMessage to review our message content and attachment content guidelines. r25-20020a2e9959000000b0027fd3c30a17si411469ljj.386 - gsmtp

 

возможно сообщение стоит заархивировать с паролем?

 

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, rade сказал:

заархивировать с паролем?

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

Ссылка на сообщение
Поделиться на другие сайты
13 минут назад, Sandor сказал:

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

image.png.63e5c271d74d0308254599f121035c76.png

 

Увы защитник ругается.
Файл отправил, пароль в теле письма.
 

Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Sandor сказал:

В каком файле обнаруживает?

C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
 

 

это по нашего программиста из смежной канторы. я уже думаю, может в дефендере какие-то алгоритмы обновились, т.к. по не обновлялось и ранее на него не ругалось.
пробовал запускать с машины на которой ругается этот экзе файл с арандомной машины в сети - находит угрозу.
добавить программу в исключение, параноя не позволяет, вакатак в целом то серьезный вирус. 

Изменено пользователем rade
Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, rade сказал:

это по нашего программиста из смежной канторы

Что же вы сразу об этом не сообщили? :)

 

Напишите Microsoft о ложном срабатывании.

Ссылка на сообщение
Поделиться на другие сайты
Только что, Sandor сказал:

Что же вы сразу об этом не сообщили? :)

 

Напишите Microsoft о ложном срабатывании.

Спасибо. Простите, если зря потратил ваше время.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • pxvel
      От pxvel
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!
    • DNik
      От DNik
      Здравствуйте. После скачивания zip-файлов вдруг антивирус решил выдать мне предупреждение об трояне. Раньше качал AutoLogger и антивирус вёл себя нормально, не нарекался. Читая некоторые статьи понял, что нет смысла пробовать удалить файлы через системный антивирус (я всё равно попробовал) и троян остаётся нетронутым.
       

      CollectionLog-2023.11.10-21.13.zip
    • не берс
      От не берс
      Доброго времени суток. Сегодня моя девушка скачала рар.файл от препода из вуза, в котором были документы и презентации по предмету. Дефендер вин10 сразу отправил архив в блок и указал на угрозу. При выборе действий я выбрал удалить, на что он мне сказал, что угроза либо удалена, либо восстановлена. Подозрительных процессов в ДЗ я не вижу, проверку Хитман про прошел без проблем, cureit тоже не показал ошибок, полная проверка через дефендер тоже не выдала никаких ошибок. Сам файл внутри архива пропал, как и сам архив.  В реестре тоже нет подозрительных ddl, в журнале событий ничего не нашел, надеюсь на логи. 
      Спустя 20 минут перестал откликаться рабочий стол на команды мышкой, появились подгрузки и зависания. Глянул hardaware monitoring, нагрузок нет. Логи  фарбара прилагаю, очень надеюсь на вашу помощь, оповещений о смене паролей или списания денег еще не было. 

      Addition.txt FRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из "Компьютерная помощь".
    • xorex
      От xorex
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать?
    • krokodail
      От krokodail
      Здраствуйте,столкнулся с такой проблемой что не могу удалить данный троян под названием Trojan:Win32/Wacatac.B!ml,как мне решить данную проблему?

×
×
  • Создать...