Троян Wacatac.H!ml

[Ultra 0]

Скачал пакет программ от Adobe и Виндовс Дефендер показал Троян Wacatac.H!ml. Когда его пытался удалить он долго грузил, но ничего не происходило, и потом снова его выдавал. Потом вовсе оповещение о нём пропало. Папка тоже не удалялась, но в итоге удалилась. Пока проверял  Kaspersky Virus Removal Tool; дефендер выдал ещё оповещения, что Wacatac.B!ml обнаружен причём в старой папке в кряке давнышнем, который до этого ничего не говорил на него. Kaspersky Virus Removal Tool ничего не обнаружил.

Проверка автологером

CollectionLog-2023.05.01-22.20.zip

[Ultra 0]

Прошу у вас, помощи, пожалуйста

 

Начал проверял автономным модулем дефендера, который работает при перезагрузке, в итоге, после проверки компьютер не смог запустить виндовс.

Помогла только точка восстановления, с которой компьютер вернулся на несколько дней назад. Нужно по новой сканировать логи?

[Sandor 1 167]

Здравствуйте!

 

Да, соберите новые логи и постарайтесь не предпринимать никаких шагов до нашей рекомендации.

[Ultra 0]

CollectionLog-2023.05.02-15.04.zip

[Sandor 1 167]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Bonjour

Кнопка "Яндекс" на панели задач

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - AutoLogon: HKLM\..\Winlogon: \Влад (disabled)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[Ultra 0]

А если нет этого, то что делать?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local

[Sandor 1 167]

Саму утилиту запускаете эту?

Цитата

C:\Users\Влад\Downloads\AutoLogger\AutoLogger\HiJackThis\HiJackThis.exe

Если да, фиксите ту строку, которая есть и продолжайте.

[Ultra 0]

Addition.txtFRST.txt

[Sandor 1 167]

24 минуты назад, Sandor сказал:

Саму утилиту запускаете эту?

Вы не ответили.

[Ultra 0]

Да, по такому пути эту программу запускаю

Изменено 3 мая пользователем Ultra

[Sandor 1 167]

 

Ясно, спасибо.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  2023-05-02 04:55 - 2023-05-02 04:55 - 000000000 ____D C:\Windows\Tasks\360Disabled
  2023-05-02 04:33 - 2023-05-02 09:33 - 000000000 ____D C:\ProgramData\360Quarant
  2023-05-02 04:31 - 2023-03-15 11:02 - 000110800 _____ (360.cn) C:\Windows\SysWOW64\Drivers\360AvFlt.sys
  2023-05-02 04:30 - 2023-05-03 09:47 - 000000000 ____D C:\Program Files (x86)\360
  2023-05-02 03:39 - 2023-05-02 09:33 - 000000000 __SHD C:\$360Section
  2023-05-02 01:43 - 2023-05-03 09:18 - 000000000 ____D C:\Users\Влад\AppData\Roaming\360DesktopLite
  AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjiiiio [0]
  AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [134]
  FirewallRules: [{54458C5A-A87B-4E6F-BDF3-154E015C3502}] => (Allow) LPort=1688
  FirewallRules: [{E3328600-2591-46B6-990B-E3B03301EE31}] => (Allow) LPort=32682
  FirewallRules: [{CA3630A4-F074-4D73-A90E-344ECA1829CF}] => (Allow) LPort=26822
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ultra 0]

Кстати, если программа FRST выдаёт вот такое окно, это ничего? Можно продолжать?

[Sandor 1 167]

Сеть при этом не отключена? Не страшно, продолжайте.

[Ultra 0]

Интернет работает

 

 

 

лог-файл (Fixlog.txt)

Fixlog.txt

Так, я возможно неправильно немного сделал, я в саму программу прям вставлял, то что вы написали. А сейчас в руководстве увидел, что нужно через блокнот или так как я сделал тоже можно?

 

А, увидел в руководстве, что можно без блокнота.

Изменено 3 мая пользователем Ultra

[Sandor 1 167]

Вставлять никуда не нужно, скрипт успешно выполнился прямо из буфера обмена.

Можно и через Блокнот, но не в вашем случае.

 

Что сейчас с проблемой?