Помогите пожалуйста удалить вирус Trojan:Script/Wacatac.B!ml

[andrew_t]

Добрый день,

 

Примерно неделю назад мне отправили по корпоративной почте файл PDF (официальный документ). Я его скачал и открыл, после этого система обнаружила вирус Trojan:Script/Wacatac.B!ml (скриншот 1). После попробовали чистить систему Kaspersky Virus Removal Tool, он ничего не обнаружил. Стандартная утилита Windows поместила вирус в карантин, после "удалила".

 

По итогу ноутбук не уходит в спящий режим с открытой крышкой, если закрыть крышку, через какое-то время появляется меню безопасного режима (без моего участия) при включении (скриншот 2). Сегодня, наблюдал как самостоятельно запускаются программы с рабочего стола в рандомном порядке. Помогите пожалуйста разобраться в ситуации.

 

Результаты сканирования на сегодняшний день (скриншот 3).

Логи во вложении.

 

Заранее спасибо!

CollectionLog-2023.05.13-17.49.zip

[Sandor]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[andrew_t]

Здравствуйте, спасибо. Отсканировал, результаты во вложениях.

Addition.txt FRST.txt

[Sandor]

Почему не удалили Bonjour?

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-731689664-2756631611-2833722826-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Windows:CM_24a190a2a4a4bc3ed8bab325e9bc193eeec118b12884359fd9fd2bd1f2f76e13 [74]
  AlternateDataStreams: C:\Windows:CM_b545bcb3203d8155f6b720f5cdc1bb28e5028b39872aacb05c402f244adb3332 [74]
  FirewallRules: [{5DC251B2-C34B-463D-B245-F18BA819A72C}] => (Allow) LPort=80
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.