Перейти к содержанию
Правила раздела
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Trojan:Win32/Wacatac.B!ml

pxvel

Автор pxvel,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

pxvel

pxvel 0

Опубликовано
Опубликовано

Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Здравствуйте!

 

1. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

2. 

"Пофиксите" в HijackThis только следующее: 

O4 - HKCU\..\StartupApproved\Run: [ROX] = "D:\ROX\bdrox.exe" autorun (file missing) (2023/08/22)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

Перезагрузите компьютер.

 

3. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [SmartScreenEnabled] 0
CHR StartupUrls: Default -> "hxxp://rusearch.co"
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\Users\Pavel\Application Data:374c9b336db4fa9522b72c58dcd0c3f9 [394]
AlternateDataStreams: C:\Users\Pavel\AppData\Roaming:374c9b336db4fa9522b72c58dcd0c3f9 [394]
FirewallRules: [{C9D57FEC-CF14-4190-B04F-1C8C4EDD6424}] => (Allow) C:\Users\Pavel\AppData\Local\Temp\DriverPack-20201209191803\tools\aria2c.exe => Нет файла
cmd: ECHO Y|CHKDSK C: /F
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
StartPowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowershell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания. Во время перезагрузки будет запущена проверка диска на ошибки, не прерывайте.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Судя по отчёту, кое-что всё же изменилось:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

Завтра проверьте и сообщите останутся ли те записи в журналах Защитника.

Ссылка на сообщение
Поделиться на другие сайты
pxvel

pxvel 0

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Судя по отчёту, кое-что всё же изменилось:

 

Завтра проверьте и сообщите останутся ли те записи в журналах Защитника.

проверил

149326259_.png.43be1ffeb45e3ea01d9f697731a13f39.png

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Как видите, дата обнаружения 4-х дневной давности.

По умолчанию эти записи должны со временем очиститься. Но скриптом срок хранения таких записей изменен на один день.

Поэтому и предлагаю подождать до завтра.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Отлично! В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • TEMAAAA
      Windows Defender нашел Trojan:Win64/CoinMinerlpz и он не удаляется
      От TEMAAAA
      Нашел этот майнер. Он лежит в папке C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe
      Удалял и помешал в карантин его антивирусом, потом вручную пытался. В итоге через секунду после удаления эта папка с exe-шником снова создавалась. Помимо это у меня каждый день появляется синий экран смерти с ошибкой VIDEO_TDR_FAILURE (nvlddmkm.sys) и постоянно в диспетчере задач запущен Хост окна консоли, который жрет 30%+ ЦП. Я проверял этот conhost.exe он лежит в папке WIndows/System32 и вроде бы не является копией. Но все ровно что-то тут не то. Надеюсь все эти проблемы связаны с майнером про который рассказал.
      Прикрепляю логи.
      CollectionLog-2024.06.20-14.34.zip
    • futaba-tian
      HEUR:Trojan.Multi.GenBadur.gena
      От futaba-tian
      Добрый вечер!

      Примерно час назад я по невнимательности кликнула на ссылку в сообщение от друга в Стим. К сожалению, друг оказался взломанным, и ссылка вела на опасный сайт. Kaspersky Total Security заблокировал переход, но после быстрой проверки оказалось, что вирус всё-таки попал в систему. Я сразу его удалила (с помощью антивируса), перезагрузила компьютер, провела еще одну проверку (полную) и удалила старые контрольные точки восстановления ОС.

      Сейчас антивирус показывает, что все нормально, но я хотела бы быть уверена, что ничего вредного или его хвостов не осталось. Вы могли бы мне помочь?
       
      Прилагаю необходимые логи к данному запросу.
       
      CollectionLog-2024.06.19-20.15.zip
    • VirranS
      conhost.exe грузит систему. В играх падение фпс от 100 до 20.
      От VirranS
      Здравствуйте, после скачивания Sapphire для SonyVegas начал сильно лагать компьютер и сильное падение фпс со 100 до 20 во всех играх. 
      Проверял Dr.web curlet. 
      Sapphire удалил. Если завершить процесс через диспетчер повышается фпс, но через пару секунд консоль опять включается и сильное падение фпс. 
      Логи и  скрин прикладываю.

      CollectionLog-2024.06.19-15.22.zip
    • Galem333
      [РЕШЕНО] Вирус поразил системные файлы!
      От Galem333
      Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 


       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь по персональным продуктам".
    • Barrrin
      Ошибка Trojan:Win64/Reflo.HNS!MTB и выдача ошибок оперативной памяти
      От Barrrin
      Здравствуйте, позавчера компьютер просто выключился с синим экраном смерти, думал проблема в жестком диске, все проверил все хорошо, думал пройдет просто так пошел играть и просто выдало какую то ошибку что файл игры поврежден и потом опять комп выключился. На след день от антивирусника от windows пишет что обнаружен вирус Trojan:Win64/Reflo.HNS!MTB и его удалить не удается. Скачать программу касперского и показало что якобы проблемыы нет, но мне кажется что вирус сидит в оперативной п амяти, т.к плашки абсолютно хорошо работали до вчерашнего дня и вылазки этой проблемы. Помогите пожалуйста решить данную проблему 
      CollectionLog-2024.06.04-18.24.zip
×
×
  • Создать...