Перейти к содержанию

Помогите пожалуйста удалить вирус Trojan:Script/Wacatac.B!ml


Рекомендуемые сообщения

Добрый день,

 

Примерно неделю назад мне отправили по корпоративной почте файл PDF (официальный документ). Я его скачал и открыл, после этого система обнаружила вирус Trojan:Script/Wacatac.B!ml (скриншот 1). После попробовали чистить систему Kaspersky Virus Removal Tool, он ничего не обнаружил. Стандартная утилита Windows поместила вирус в карантин, после "удалила".

 

По итогу ноутбук не уходит в спящий режим с открытой крышкой, если закрыть крышку, через какое-то время появляется меню безопасного режима (без моего участия) при включении (скриншот 2). Сегодня, наблюдал как самостоятельно запускаются программы с рабочего стола в рандомном порядке. Помогите пожалуйста разобраться в ситуации.

 

Результаты сканирования на сегодняшний день (скриншот 3).

Логи во вложении.

 

Заранее спасибо!

скриншот 1.jpg

скриншот 2.jpeg

скриншот 3.jpg

CollectionLog-2023.05.13-17.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Почему не удалили Bonjour?

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-731689664-2756631611-2833722826-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\Windows:CM_24a190a2a4a4bc3ed8bab325e9bc193eeec118b12884359fd9fd2bd1f2f76e13 [74]
    AlternateDataStreams: C:\Windows:CM_b545bcb3203d8155f6b720f5cdc1bb28e5028b39872aacb05c402f244adb3332 [74]
    FirewallRules: [{5DC251B2-C34B-463D-B245-F18BA819A72C}] => (Allow) LPort=80
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • alexander6624
      Автор alexander6624
      при проверке вирусов на dr web нашёлся вирус net malware url, dr web его обезвредить не смог,а при следующей проверке вируса не было найдено,но на следующий день при повторной проверке этот вирус опять обнаружился,при этом начал очень сильно грется процессор и начались сильные глюки.

    • Чилипиздрик
      Автор Чилипиздрик
      Здравствуйте! Подцепила на просторах интернета указанный MEM:Trojan.Win32.SEPEH.gen Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Дальше делает вид, что работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
      CollectionLog-2025.06.18-20.38.zip
    • ggruzin
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
    • qqjwjjj
      Автор qqjwjjj
      Когда я сегодня проснулся я увидел что у иконок на рабочем столе нет названий и через какое-то время они появились потом я увидел что с права снизу у меня нет времени и ещё когда я зашёл в проводник там всё было без названий и ещё у меня не работает кнопка пуск и поисковая строка и когда я пытался скачать dr web у меня выходила ошибка у меня сейчас 360 security я им сканировал на вирусы несколько раз и не чего не помогало перезагружал компьютер и не чего переустановить виндоус не могу флешки нету
    • Nickopol
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...