Перейти к содержанию
Правила раздела
Пройди опрос про новый продукт, получи приз

Помогите пожалуйста удалить вирус Trojan:Script/Wacatac.B!ml

andrew_t

Автор andrew_t,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

andrew_t

andrew_t 0

Опубликовано
Опубликовано

Добрый день,

 

Примерно неделю назад мне отправили по корпоративной почте файл PDF (официальный документ). Я его скачал и открыл, после этого система обнаружила вирус Trojan:Script/Wacatac.B!ml (скриншот 1). После попробовали чистить систему Kaspersky Virus Removal Tool, он ничего не обнаружил. Стандартная утилита Windows поместила вирус в карантин, после "удалила".

 

По итогу ноутбук не уходит в спящий режим с открытой крышкой, если закрыть крышку, через какое-то время появляется меню безопасного режима (без моего участия) при включении (скриншот 2). Сегодня, наблюдал как самостоятельно запускаются программы с рабочего стола в рандомном порядке. Помогите пожалуйста разобраться в ситуации.

 

Результаты сканирования на сегодняшний день (скриншот 3).

Логи во вложении.

 

Заранее спасибо!

скриншот 1.jpg

скриншот 2.jpeg

скриншот 3.jpg

CollectionLog-2023.05.13-17.49.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 165

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 165

Опубликовано
Опубликовано

Почему не удалили Bonjour?

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-731689664-2756631611-2833722826-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Windows:CM_24a190a2a4a4bc3ed8bab325e9bc193eeec118b12884359fd9fd2bd1f2f76e13 [74]
AlternateDataStreams: C:\Windows:CM_b545bcb3203d8155f6b720f5cdc1bb28e5028b39872aacb05c402f244adb3332 [74]
FirewallRules: [{5DC251B2-C34B-463D-B245-F18BA819A72C}] => (Allow) LPort=80
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Тимон
      trojan-multi-genautorunreg-a помогите
      От Тимон
      Здравствуйте! Не могли бы вы мне подсказать по логам моей проверки что из этого является вирусами. скачали с другом один и тот же файл и его Windows defender заблокировал из-за Trojan:Win32/occamy.aa, в то время как мой касперский ничего такого не видит. По большей части гугл и торрент, но есть и другие непонятные мне файлы в логах, на которые ругается malwarebytes
      1.txt

       
      Сообщение от модератора kmscom Тема перенесена из trojan-multi-genautorunreg-a помогите  
    • Kawka
      [РЕШЕНО] trojan-multi-genautorunreg-a помогите
      От Kawka
      Доброго времени суток, уже длительное время борюсь со скрытой угрозой trojan-multi-genautorunreg-a. Пользуюсь Касперским, все начиналось с того, что нужно было скачивать файлы с общего архива для учебы и нежданный гость залез в компьютер поразив  Microsoft EDGE и создавал в Extensions браузера свои копии. Мне пришлось на месяца два удалить EDGE применяя разные утилиты и вроде решив проблему, с чисто душой недавно решила скачать EDGE обратно с офф. сайта и проблема началась на 3-й день. Возможно вирус сохранился в реестр и заморозился в то время до определенного момента. Сейчас вновь поразил EDGE, GOOGLE и системную память. Касперский жалуется и вроде как удалил, приостановил, но жалобы опять появляются, из системной памяти не удаляет.   Вот логи, сканирования, надеюсь вы поможете, заранее спасибо!!  ( KVRT - показывает, что всё чисто, но каперский говорит об обратном ) 
      CollectionLog-2023.05.21-22.55.zip report.txt
    • snosov
      Проблема с Trojan.Win32.Miner.bcnmz/bcnnb + not-a-virus:RiskTool.Win32.BitCoinMiner.oomz + not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
      От snosov
      Приветствую,
      Обратил внимание, что у меня при заходе в Windows у меня мелькает окно cmd.exe, сразу попытался зайти на сайт антивирусного ПО и браузер "сам" закрылся.
      Скачал через телефон Kaspersky Virus Removal Tool и перебросил на ПК, но при попытке запустить файл окно проводника "само" закрывалось, переимоновал файл и он запустился, но в процессе "расстановки галочек" он так же "сам" закрылся.
      Скачал через телефон DrWeb CureIt!, он запустился без проблем и нашёл всякое, и полечил, но после перезагрузки всё вернулось.
      Скачал через телефон Kaspersky Rescue Disk, сформировал загрузочную USB. Было найдено то же самое, тоже было полечено, но так же не смогло помочь и после загрузки ситуация не поменялась.
      В приложении выгрузка AutoLogger-а и скрины KRD, но есть момент - AutoLogger пытался открыть Google Chrome, а я его удалил сразу как понял про заразу - там явки/пароли/карты.


      CollectionLog-2023.05.14-13.34.zip
    • misteryOK
      Не удаляется майнер
      От misteryOK
      Словил wacatac. Почти сразу же почистил все файлы с этим названием, сделал несколько глубоких очисток встроенным антивирусом. Но пк продолжает шуметь, вылетает диспетчер задач и выключается браузер при попытке зайти на страницу с каким либо антивирусом или типо того. В подобных темах нашел решение подобной проблемы, но не могу его опробовать, т. к. при попытке запустить от имени администратора  FRST64 ошибка "операция отменена из за ограничений, действующих на этом компьютере. Обратитесь к системному администратору. " (тоже самое при запуске KVRT (это что то от Касперского непосредственно)). И к этому всему ни один браузер на пк не может открыть какие либо ссылки с форума и форум непосредственно. 
    • xorex
      Trojan:Win32/Wacatac.B!ml
      От xorex
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать?
×
×
  • Создать...