Trojan:Win32/Wacatac.H!ml

[jumpmvn]

Скачал программу для монтажа Sony Vegas Pro 20 и поймал троян!

Для правильной установки говорилось что нужно выключить системный антивирусник, я это сделал и установил программу, после чего ноут начал жёстко шуметь кулерами, и загружался процессор, температура стала 90С 

После чего я удалил программу и включил антивирусник чтобы проверить наличие вирусов, и выходит следующая ситуация антивирусник нашёл троян Trojan:Win32/Wacatac.H!ml



p/s вирус проник и начал действовать и переобулся в системные файлы hosts из за того что я выключил системный антивирусник 
далее при открытии диспетчера задач все проблемы пропадают и вирус скрывается и перестаёт нагружать систему
при всём при этом если выключить интернет то он тоже не начинает свои вредоносные деяния  

Антивирусник виндовс почему то не может удалить этот троян хоть и обнаруживает его 
Пробовал стороннюю программу Dr. Web сканировал обычно, и полностью диск (у меня всего один диск) выявило одну угрозу но при этом ничего не изменилось 
после этого ещё раз делал несколько проверок и в эти разы он ничего не находил и говорил что всё ОК 

Никогда не сталкивался с таким и никогда не писал на форумы так что извиняюсь если пишу как то не по канонам, вы моя последняя надежда 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[jumpmvn]

CollectionLog-2023.03.26-14.30.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('C:\Program Files\Google\Chrome\updater.exe','');
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe','64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
 DeleteSchedulerTask('OneDC_Updater');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

 

Сделайте новые логи Автологгером. 
 

[jumpmvn]

где скачать AVZ?

а ой извините AVZ это логер туда и вводить скрипт?

 

как мне запустить логер  через контекстное меню проводника от имени Администратора?
я открываю логер AVZ от имени администратора и начиется автоматический сбор логов который я вам кидал 

 

А всё извините я нашёл 

 

сделал всё вышесказанное 
вот новые логи 

CollectionLog-2023.03.26-15.28.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[jumpmvn]

FRST.txt                         

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    

   SystemRestore: ON
   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-1640609602-2761662395-4039141246-1001\...\Run: [ProtonVPN] => C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe (Нет файла)
   Task: {5695FDEC-AF58-413E-885B-D61325C0F925} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\21.9.2.172\service_update.exe --repair (Нет файла)

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

[jumpmvn]

Стоит ли это делать если у меня уже всё пропало и вирусов после последних действий? 

удалился троян 

[mike 1]

Лучше сделать. 

[jumpmvn]

вот бро

Fixlog.txt

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

   
   

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   

4. Нажмите на кнопку Run
   

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда  и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[jumpmvn]

Спасибо огромное за помощь вы очень мне помогли 💗💗
Хотел бы спросить на каких сайтах можно скачивать программы чтобы снова не подцепить вирусы? Какие меры осторожности нужно соблюдать? 
 

[mike 1]

Ознакомиться с рекомендациями вы можете по этой ссылке. 

[jumpmvn]

28.03.2023 в 15:35, mike 1 сказал:

 

1.  

нужно выключить антивирусник винды?