Перейти к содержанию

[РЕШЕНО] Обнаружен Trojan:Win32/Wacatac.H!ml


IlyaSubachev

Рекомендуемые сообщения

После открытия торрент файла программы для монтажа Microsoft Defender обнаружил троян, с ним он справиться не смог, пробовал сторонние программы такие как malware, spyhunter(нашел 6 файлов, я удалил их вручную) проблемы это не решило image.thumb.png.23803fbb93810cb1422c352df40d28b5.png

CollectionLog-2023.03.21-19.14.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

Bonjour

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Если программа

Цитата

WindowsFormsApplication1

вам неизвестна, тоже её деинсталлируйте.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    FirewallRules: [{B8230F17-914A-4A0A-BA49-C1E4E9B015AE}] => (Allow) LPort=8027
    FirewallRules: [{55A99302-70DC-49FE-8C80-A94BB90C1A60}] => (Allow) LPort=8027
    FirewallRules: [{FDBB943A-1803-49CE-9AB4-BE377EC94231}] => (Allow) LPort=8027
    FirewallRules: [{17F79A1E-BC0A-4B3C-8A5E-29E87308455D}] => (Allow) LPort=8027
    FirewallRules: [{E6A9B1DE-734E-4A10-AC60-425B840FBC99}] => (Allow) LPort=8027
    FirewallRules: [{634958A8-97D5-4D8E-8380-29044737ABE7}] => (Allow) LPort=8027
    FirewallRules: [{88CF4A20-EA2D-4F36-82E1-52AF6CDC72DE}] => (Allow) LPort=8027
    FirewallRules: [{9A08D556-5509-48C0-9267-9024624D6F12}] => (Allow) LPort=8027
    FirewallRules: [{BDEF5968-FB66-43FC-AD96-D04A25C5F33F}] => (Allow) LPort=8027
    FirewallRules: [{98165433-85E7-44B9-89ED-A9F53D4BC6DD}] => (Allow) LPort=8027
    FirewallRules: [{153BF4BA-235D-41FE-AC9B-53872F016697}] => (Allow) LPort=8027
    FirewallRules: [{B986D80E-1319-4F27-8708-4DC8F642C4BD}] => (Allow) LPort=8027
    FirewallRules: [{22212F6F-9823-40B1-B57E-0614429382F9}] => (Allow) C:\Users\Илюха\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
    FirewallRules: [{E06BE50D-F701-4E83-A6C7-76A59BDD68CF}] => (Allow) C:\Users\Илюха\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
    FirewallRules: [{AAAD0ED5-AEC9-424C-8AF1-4034B56E12A9}] => (Allow) C:\Users\Илюха\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{AC37B202-0DF4-467A-8443-20FD6F9654D2}] => (Allow) C:\Users\Илюха\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
    FirewallRules: [{9D64DB6F-A274-4ACF-B8FA-20FA4509E7BC}] => (Allow) LPort=8027
    FirewallRules: [{8D26D3F3-9100-4165-B886-0950E2D9480E}] => (Allow) LPort=8027
    FirewallRules: [{868685E6-734A-4C87-B74E-7C7A42221FBC}] => (Allow) LPort=8027
    FirewallRules: [{CB04E266-2FE8-4326-9978-B76B436808E2}] => (Allow) LPort=8027
    FirewallRules: [{E2524F1A-47B2-4CC6-BCCD-56E965C3AD5F}] => (Allow) LPort=8027
    FirewallRules: [{954BAC62-34A4-447C-AE34-AAB80648B4B0}] => (Allow) LPort=8027
    FirewallRules: [{C35E5465-243B-40A7-9FD7-69CE5B919D2E}] => (Allow) LPort=8027
    FirewallRules: [{695F045F-6D72-4955-AD98-79D0F9CCBC68}] => (Allow) LPort=8027
    FirewallRules: [{BFDFDD5D-4FCB-4102-9D8D-81E34D30323A}] => (Allow) LPort=8027
    FirewallRules: [{CE1CF988-D1E2-49F7-837D-4EA1FFF02048}] => (Allow) LPort=8027
    FirewallRules: [{43DB5D00-BF2D-41FD-BA63-9CFFDEAE7C7D}] => (Allow) LPort=8027
    FirewallRules: [{50E001ED-A045-47D1-AC35-000279ECE29A}] => (Allow) LPort=8027
    FirewallRules: [{8D0F9CF5-803F-4EC8-9FBE-377F29736447}] => (Allow) LPort=8027
    FirewallRules: [{626115A5-2106-466A-9C64-7776094A2CE1}] => (Allow) LPort=8027
    FirewallRules: [{2F769159-BDDC-497E-A957-CDAB00B97DE5}] => (Allow) LPort=8027
    FirewallRules: [{0B78A641-7D30-4CFD-AC48-FEEA21762773}] => (Allow) LPort=8027
    FirewallRules: [{11305EAA-62E1-47F3-AD40-3BFC6DD6BDAC}] => (Allow) LPort=8027
    FirewallRules: [{410EBD27-2504-4FCD-80C1-430FBAF86DBA}] => (Allow) LPort=8027
    FirewallRules: [{50D31A6E-F186-4E4C-A274-7672B1ED4714}] => (Allow) LPort=8027
    FirewallRules: [{BFB1F4D3-23ED-4E62-A2FF-1D3DC6A3FE37}] => (Allow) LPort=8027
    FirewallRules: [{69787181-4D00-436A-A142-4E9E3F13DD0B}] => (Allow) LPort=8027
    FirewallRules: [{E1395F36-95AE-49BD-B098-B09C67B018B4}] => (Allow) LPort=8027
    FirewallRules: [{2CD6C593-B73F-4D08-B4F2-4A354A40AD56}] => (Allow) LPort=8027
    FirewallRules: [{1C5B2027-0408-4403-85E2-B8AD8828F7F8}] => (Allow) LPort=8027
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Отлично!

В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2012 Native Client  v.11.3.6538.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Setup Support Files  v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9008 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46738 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.5.709 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • OneZero
      От OneZero
      Добрый день. Скачивал торрент файл и поймал какую - то ерунду которая значительно снизила работоспособность ноутбука. Использую DAW на протяжении года и при небольшой нагрузки в ПО начинаются резкие спады после которых невозможно пользоваться программой. Причем появилась эта проблема буквально дня 3 назад. Буду признателен, если вы сможете помочь избавиться от этого трояна.
      Лог прикрепляю в раре. 

      log.rar
    • T23
      От T23
      Пж помогите решить проблему.

    • MaximLem
      От MaximLem
      Здравствуйте, хотел бы обратиться за помощью в связи с ситуацией с вирусами на компьютере. Честно говоря, не знаю точно после чего эти вирусы появились., находятся они в разделе "Разрешённые угрозы". Логи и скриншот прикрепил
    • ise29
      От ise29
      Дней 7 назад обнаружил, что во первых запуск пк сильно замедлился, очень долго в биосе грузится, потом экран "добро пожаловать" тоже около 30 сек (раньше запускался в сумме за секунд 10). Во вторых после прогрузки все висит достаточно долгое время. Открыв диспетчер я обнаружил, что мой локальный диск в сотне перманентно. Если открываю диспетчер - нагрузка на диск падает до нуля и остается такой, все работает нормально дальше, проблем не замечал в работе пк. Так же заметил в диспетчере кучу svchost.exe, штук 30 запущенных. Запущены в том числе и от самого пользователя, не только от системы нетворка и локал сервиса.
      При сканировании пк DR WEB'ом локального диска С он обнаружил Trojan.MulDrop22.16822 в файле svchost.exe. Насколько я понимаю это просто вспомогательный файл для других вирусов, очень хотелось бы от них избавиться, если они есть. Днем ранее была попытка взлома стим-аккаунта. Есть подозрения на клиппер или еще что. 
      Защитник видоус ничего не находит. 
      CollectionLog-2024.11.21-15.24.zip
    • aronone
      От aronone
      Здравствуйте, защитник виндовс нашел Trojan:Win32/Dorv.A , и еще PUABundler:Win32/uTorrent_BundleInstaller и PUADlManager:Win32/OfferCore , поместил в карантин и заблокировал, после проверил куррейтом и ничего не находит. Просьба помочь почистить пк. Вирус появился сразу после подключения к общему гостиничному вай фай, может быть это как то связанно
      cureit.zip CollectionLog-2024.11.30-15.34.zip
×
×
  • Создать...