Перейти к содержанию
Правила раздела

Trojan:Win32/Wacatac.B!ml

pxvel

Автор pxvel
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

pxvel

pxvel

Опубликовано
Опубликовано

Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее: 

O4 - HKCU\..\StartupApproved\Run: [ROX] = "D:\ROX\bdrox.exe" autorun (file missing) (2023/08/22)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

Перезагрузите компьютер.

 

3. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [SmartScreenEnabled] 0
CHR StartupUrls: Default -> "hxxp://rusearch.co"
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Users\Pavel\Application Data:374c9b336db4fa9522b72c58dcd0c3f9 [394]
AlternateDataStreams: C:\Users\Pavel\AppData\Roaming:374c9b336db4fa9522b72c58dcd0c3f9 [394]
FirewallRules: [{C9D57FEC-CF14-4190-B04F-1C8C4EDD6424}] => (Allow) C:\Users\Pavel\AppData\Local\Temp\DriverPack-20201209191803\tools\aria2c.exe => Нет файла
cmd: ECHO Y|CHKDSK C: /F
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания. Во время перезагрузки будет запущена проверка диска на ошибки, не прерывайте.

Sandor

Sandor

Опубликовано
Опубликовано

Судя по отчёту, кое-что всё же изменилось:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Завтра проверьте и сообщите останутся ли те записи в журналах Защитника.

pxvel

pxvel

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Судя по отчёту, кое-что всё же изменилось:

 

Завтра проверьте и сообщите останутся ли те записи в журналах Защитника.

проверил

149326259_.png.43be1ffeb45e3ea01d9f697731a13f39.png

Sandor

Sandor

Опубликовано
Опубликовано

Как видите, дата обнаружения 4-х дневной давности.

По умолчанию эти записи должны со временем очиститься. Но скриптом срок хранения таких записей изменен на один день.

Поэтому и предлагаю подождать до завтра.

Sandor

Sandor

Опубликовано
Опубликовано

Отлично! В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • trotnl
      Трояны и вирусные расширения браузера
      Автор trotnl
      Недавно мной были замечены странные видео в истории просмотра, которые я, естественно, не смотрел, решил проверить в чем проблема, выяснилось что у меня появилось неизвестного происхождения расширение которое маскируется под adblock, где при переходе на сайт разработчика выходит фейковый сайт (см. прикрепленные фото)

       
       
      Решил удалить напрямую из папки расширений браузера, но это тоже не помогло, они просто подгрузились обратно, далее провел проверку программой Dr.Web CureIt! который нашел следующие проблемы:
       
       

      Также прикрепляю логи: CollectionLog-2026.01.31-13.40.zip Addition.txtFRST.txtAdwCleaner[C00].txt
    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • verty
      Нужна помощь с вирусом BiopassRAT
      Автор verty
      Помогите решить проблему с вирусом, все началось  с того что мне какие то стримеры скинули вирус я так понимаю его название BiopassRAT, может другой вирус , без понятия, но видеть меня могли почти все стримеры в программах для стримингов, обс студио и т.д, менял устройства с симкартами и аккаунтами, ничего не помогало, все ровно как то накидывали его, не подключался к зараженным роутеру, по скольку у меня его нету, вообще без понятия как, но прослушиваюсь 24/7 
    • Iskrinkagame
      [РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.
      Автор Iskrinkagame
      Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.
       
       

    • Радмир
      Перестал работать интернет
      Автор Радмир
      при вводе запроса в браузере находит сайты скорость интернета показывает нормальная но почти никакие сайты не грузит скорее никакие не знаю что делать я даже не могу скачать антивирус на Пк потому что нет интернета
×
×
  • Создать...