windows defender не справляется с трояном Wacatac.B!ml

[RomanGuitar 0]

windows defender не справляется  с трояном Wacatac.B!ml dr.web тоже не помог

[Mark D. Pearlstone 1 530]

Порядок оформления запроса о помощи

[RomanGuitar 0]

CollectionLog-2023.12.25-10.08.zip

 

Addition.txt FRST.txt 

[safety 130]

Quote

 

Date: 2023-12-25 09:51:12
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Чтобы узнать больше, см. приведенные далее сведения.
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Wacatac.B!ml&threatid=2147735505&enterprise=0
Имя: Trojan:Win32/Wacatac.B!ml
ИД: 2147735505
Серьезность: Критический
Категория: Троян
Путь: file:_H:\Synchro Arts - ReVoice Pro v5.0.17.1\Synchro Arts Ltd\Revoice Pro (64bit)\RevoicePro.exe; webfile:_H:\Synchro Arts - ReVoice Pro v5.0.17.1\Synchro Arts Ltd\Revoice Pro (64bit)\RevoicePro.exe|about:internet|pid:10852,ProcessStart:133471350984010409
Начало обнаружения: Интернет
Тип обнаружения: FastPath
Источник обнаружения: Система
Пользователь:
Название процесса: Unknown

 

microsoft: "Эта угроза может выполнять на вашем компьютере ряд действий по выбору злоумышленника." 

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 25 декабря, 2023 пользователем safety

[RomanGuitar 0]

DESKTOP-GKRN6LP_2023-12-25_16-03-58_v4.15.7z

[safety 130]

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NPKNLAJILKNLNFGEIHKPDAAEONBDCNIA\5.7_0\VK VIDEO SAVER - ЗАГРУЗЧИК ВИДЕО ИЗ ВКОНТАКТЕ
delref L:\SETUP.EXE
delref M:\SETUP.EXE
delref J:\SETUP.EXE
delref K:\AUTOPLAY.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт выше

 

 

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату,:

Изменено 25 декабря, 2023 пользователем safety

[RomanGuitar 0]

Не помогло. вирус также висит в обнаружеyных угрозах Windows defender

2023-12-25_17-18-40_log.txt

Изменено 25 декабря, 2023 пользователем RomanGuitar

[safety 130]

Quote

Не помогло. вирус также висит в обнаружеyных угрозах Windows defender

Дата и время меняются в обнаружениях Дефендера? Вы реагируете на обнаружение? Удаляете обнаруженный файл?

[RomanGuitar 0]

Время всегда одинаковое. не удаляется

Изменено 25 декабря, 2023 пользователем RomanGuitar

[safety 130]

Записей на текущий момент нет.

 

Попробуйте это решение применить для очистки журналов.

 

Вот что можно сделать:
 

Quote

1. Уменьшить время хранения журнала угроз безопасности Windows.
В PowerShell от имени администратора выполнить:
Set-MpPreference -ScanPurgeItemsAfterDelay X
Где X количество дней хранения журнала.

2. Принудительно очистить журнал:
- отключаем Защиту в реальном времени (Real-Time protection)
- отключаем Облачную защиту (Cloud protection)
- удаляем папку Service
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
- включаем Защиту в реальном времени (Real-Time protection)
- включаем Облачную защиту (Cloud protection)