[РЕШЕНО] Нужна помощь по удалению вирусов Wacatac.B!ml, Phonzy.A!ml и Phish.VA!MTB

[Лев33]

Microsoft defender постоянно выводит уведомление о троянах с браузера оперы в папке cashe
Phish
Wacatac
phonzy

Чаще всего вылезает phish и Wacatac
Подскажите меру против этих троих назойливых вирусов

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Лев33]

Выполнена проверка с помощью Dr.web CureIt и Kaspersky Virus Removal Tool, проверка шла по всему компьютеру в обоих программах последовательно.

Прикладываю пару скриншотов
Dr.web
Kaspersky

Также создан log архив
 

CollectionLog-2023.07.17-20.12.zip

Изменено 17 июля, 2023 пользователем Лев33

[Sandor]

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Лев33]

Итог сканирования с FRST64

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2966435062-710873257-1278634457-1001\...\MountPoints2: {3d3624f1-da69-11ec-a17c-704d7b2dcb5d} - "F:\autorun.exe" 
  HKU\S-1-5-21-2966435062-710873257-1278634457-1001\...\MountPoints2: {3d362557-da69-11ec-a17c-704d7b2dcb5d} - "H:\autorun.exe" 
  Hosts:
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
  AlternateDataStreams: C:\Users\sonic\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\sonic\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
  cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Лев33]

Выполнил процедуру, прикладываю log

Fixlog.txt

[Sandor]

Хорошо. Что сейчас с проблемой?

[Лев33]

Посидел в течении пол дня, вроде как теперь защитник windows ни разу не поругался на Opera и этот набор вирусов.
Благодарю вас за помощь

[Sandor]

Отлично!

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Лев33]

Проверка с SecurityCheck

 

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.1 Внимание! Скачать обновления
TeamViewer v.15.29.4 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.131 v.3.26.0.131 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.8-I604 amd64 v.2.5.040 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46248 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
 

Читайте Рекомендации после удаления вредоносного ПО

[Лев33]

Еще раз большое спасибо в предоставленной помощи и информации по обновлениям.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".