Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Trojan:Win32/Wacatac.B!ml

DNik

Автор DNik
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DNik

DNik

Опубликовано
Опубликовано

Здравствуйте. После скачивания zip-файлов вдруг антивирус решил выдать мне предупреждение об трояне. Раньше качал AutoLogger и антивирус вёл себя нормально, не нарекался. Читая некоторые статьи понял, что нет смысла пробовать удалить файлы через системный антивирус (я всё равно попробовал) и троян остаётся нетронутым.

 

image.png.3df52c8c9120fa2d677729e17c7e9a5a.png

CollectionLog-2023.11.10-21.13.zip

thyrex

thyrex

Опубликовано
Опубликовано

Нет в Автосборщике никаких вирусов.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

DNik

DNik

Опубликовано
  • Автор
Опубликовано
15 часов назад, thyrex сказал:


6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

 

logs.11.11.23.zip

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-4232439344-36027857-1334662523-1001\...\Run: [RCO2] => C:\Program Files (x86)\RCO2\RCO.exe (Нет файла)
FirewallRules: [{9AF2B119-D215-4C9C-910E-29880275D65C}] => (Allow) D:\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{FDCFA3DC-B18E-4482-922A-40AEF968759C}] => (Allow) D:\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{91F56BE0-9DCB-47B8-9686-E611019309CA}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{41614606-6918-433F-B909-217CD107DB9D}] => (Allow) D:\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{BA530EE5-D0EC-4518-9B18-551F7C0A0C2A}C:\users\user\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\user\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [UDP Query User{09FBFD00-5AC5-4911-9882-65FD8C24E219}C:\users\user\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\user\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [{B7EC9B0D-4EAE-4523-9AE2-AAA4BF9F32FE}] => (Block) C:\users\user\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [{ECED98FB-6506-4534-B0AA-8A33B90D6309}] => (Block) C:\users\user\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [TCP Query User{C4DFA1B4-67E0-42BF-BF2D-4F0B982182EF}D:\games\battle teams 2\client\hallclient.exe] => (Allow) D:\games\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [UDP Query User{766A3E36-04EE-4A48-9848-A7FF8A7CA568}D:\games\battle teams 2\client\hallclient.exe] => (Allow) D:\games\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [{21545AE1-D3A7-46CE-A804-7679B56F76C0}] => (Block) D:\games\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [{A9929E99-B681-496E-B664-AB1CE9910B49}] => (Block) D:\games\battle teams 2\client\hallclient.exe => Нет файла
FirewallRules: [TCP Query User{2BEE3B24-0E06-44AB-B893-E77B08B82B2F}C:\users\user\appdata\local\warthunder\launcher.exe] => (Allow) C:\users\user\appdata\local\warthunder\launcher.exe => Нет файла
FirewallRules: [UDP Query User{05E9B353-E6C7-4895-96E5-5832E73756FE}C:\users\user\appdata\local\warthunder\launcher.exe] => (Allow) C:\users\user\appdata\local\warthunder\launcher.exe => Нет файла
FirewallRules: [{9C868C7F-CB23-4626-84FA-3953E8F33572}] => (Block) C:\users\user\appdata\local\warthunder\launcher.exe => Нет файла
FirewallRules: [{B52D0BB2-29A1-441F-98AE-9D6C1EDE9FF3}] => (Block) C:\users\user\appdata\local\warthunder\launcher.exe => Нет файла
FirewallRules: [TCP Query User{1CB402FB-EE97-4547-BB04-82CE92E1B003}C:\users\user\appdata\local\warthunder\win64\aces.exe] => (Allow) C:\users\user\appdata\local\warthunder\win64\aces.exe => Нет файла
FirewallRules: [UDP Query User{30FCDC60-C712-4D1C-9E2F-0C4567FED5CA}C:\users\user\appdata\local\warthunder\win64\aces.exe] => (Allow) C:\users\user\appdata\local\warthunder\win64\aces.exe => Нет файла
FirewallRules: [{15C5D9FA-3F99-4F9A-980B-EFD31B3B714E}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe => Нет файла
FirewallRules: [{28C9A1F2-085B-47EB-9823-E107F19C4B90}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\UcMapi.exe => Нет файла
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Serebro
      RMS спрятанный в файле Bin
      Автор Serebro
      Всем привет
      Словил вирус RMS при попытке установить паленую игру по ссылке 
      Windows Defender профукал запуск, позволил добавить в исключения всю папку programdata, куда поселился вирус и жил там 5 дней, пока я не заподозрил неладное. 
      Пролечил систему KRD, KVRT, Cureit, AVZ, Malwarebytes. 
      Поставил Kaspersky Plus 21.25 последний обновленный. 
      Нашел лог работы RMS, в нем все записи имеют вид: 
      Address: 109.172.9.7; Port: 5655; Socket Error # 10013 Access denied.(EIdSocketError).
      Журналы системы удалились за эти дни, не успел их посмотреть.
      Скачал опять этот торент, на файле data0.bin стоит пароль, в setup.exe возможно ключ, и при запуске от админа он прописывает себя в исключения Windows Defender.


       
      В принципе понятно что это и как работает, и что сам виноват, но хочется
      1. понять был ли удаленный доступ к файлам\экрану. К сожалению удаленный доступ был разрешен, я его использовал в локалке.
      2. как вообще узнавать о том что скачанный файл имеет запароленное вложение, до того как запуск произошел? Касперский тоже на него смотрит и просит пароль, но никак не предупреждает, что здесь вообще-то свежий файл с интернета и на нём пароль и это наверно должно быть подозрительно.
      Система Windows 10 22H2
      Прикладываю отчет AVZ и несколько логов. Если какие-то еще отчеты нужны - сделаю.Логи1.zip
      avz_sysinfo.zip cureit.rar
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
    • LØNEX
      [РЕШЕНО] Попался на мошенников в КС2
      Автор LØNEX
      Здравствуйте. Пару дней назад меня рандомы пригласили в дискорд, начали звать играть на Faceit. Сказали верифицировать аккаунт фейсит через бота в дискорде, бот дал ссылку, в которой был текст для строки Win+R, утверждая, что это античит фейсита. После ввода команды на секунду открылась PowerShell. Сегодня я созвонился с человеком, который сказал, что меня опрокинули и на моем компьютере сейчас ratник и все скины скорее всего в ближайшее время украдут. Я уже временно заблокировал аккаунт Steam, пока не разберусь с проблемой. Прошу помочь.
      Вот команда, которая была прописана в Win+R: [скрипт удалён]
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
×
×
  • Создать...