Перейти к содержанию
Правила раздела

Trojan:Win32/Wacatac.B!ml

pxvel

Автор pxvel,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

pxvel

pxvel 0

Опубликовано
Опубликовано

Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

1. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее: 

O4 - HKCU\..\StartupApproved\Run: [ROX] = "D:\ROX\bdrox.exe" autorun (file missing) (2023/08/22)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

Перезагрузите компьютер.

 

3. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [SmartScreenEnabled] 0
CHR StartupUrls: Default -> "hxxp://rusearch.co"
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Users\Pavel\Application Data:374c9b336db4fa9522b72c58dcd0c3f9 [394]
AlternateDataStreams: C:\Users\Pavel\AppData\Roaming:374c9b336db4fa9522b72c58dcd0c3f9 [394]
FirewallRules: [{C9D57FEC-CF14-4190-B04F-1C8C4EDD6424}] => (Allow) C:\Users\Pavel\AppData\Local\Temp\DriverPack-20201209191803\tools\aria2c.exe => Нет файла
cmd: ECHO Y|CHKDSK C: /F
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания. Во время перезагрузки будет запущена проверка диска на ошибки, не прерывайте.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Судя по отчёту, кое-что всё же изменилось:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Завтра проверьте и сообщите останутся ли те записи в журналах Защитника.

Ссылка на сообщение
Поделиться на другие сайты
pxvel

pxvel 0

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Судя по отчёту, кое-что всё же изменилось:

 

Завтра проверьте и сообщите останутся ли те записи в журналах Защитника.

проверил

149326259_.png.43be1ffeb45e3ea01d9f697731a13f39.png

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Как видите, дата обнаружения 4-х дневной давности.

По умолчанию эти записи должны со временем очиститься. Но скриптом срок хранения таких записей изменен на один день.

Поэтому и предлагаю подождать до завтра.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Отлично! В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • ApploDi
      Проблема HEUR: Trojan.Win64.Miner.gen Как вылечить?
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
    • kptsv
      HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen
      От kptsv
      Добрый день.
      Kaspersky Security для Windows Server 10.1.2.996 выдает сообщение, что обнаружены троянские программы HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen. Проверка kvrt ничего не нашла. Dr.Web CureIt тоже ничего не нашел.
      Сообщение заносится в журнал каждый час. Как избавиться от напасти?
      CollectionLog-2024.02.29-08.17.zip kaspersky_log.csv.zip
    • kulin
      Автозапуск браузера
      От kulin
      Здравствуйте. Периодически запускается Google Chrome с сайтом. Сканировал несколькими утилитами ничего не помогло. Спасибо за помощь.
       
      CollectionLog-2024.02.24-16.18.zip
×
×
  • Создать...