Перейти к содержанию

[РЕШЕНО] Поймал Trojan:Script/Wacatac.H!ml. Не получается удалить


Рекомендуемые сообщения

При установке приложения из интернета прилетел Trojan:Script/Wacatac.H!ml. Windows Defender с ним сделать ничего не может. Запускаю действие - ничего не происходит. Перепробовал уже много чего. И журнал истории удалял и само приложение, на экзешник которого дефендер ругается (USB Type Determination), нашел и удалил. Другие антивирусы и malware софт этот троян не видят. Самого файла ехе этого нет, там где он указан. Видимость скрытых файлов включена.
Помогите пожалуйста.
Я на этом компе работаю, весь этот софт который нужен я неделю буду переустанавливать....

Ссылка на сообщение
Поделиться на другие сайты

Windef ругается на этот файл:

Quote

Date: 2024-02-03 11:00:53
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Trojan:Script/Wacatac.H!ml
ИД: 2147814524
Серьезность: Критический
Категория: Троян
Путь: file:_C:\Users\simon\AppData\Local\USB Type Determination\usbtypedetermination.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Система
Пользователь:
Название процесса: Unknown

Какие то действия выполнили после обнаружения?

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Полное сканирование дефендером. Им же в автономном режиме. 
Anti-malware устанавливал. Он этот вирус не нашел.
Нашел в программах установленный USB Type Determination - удалил.
По пути C:\Users\simon\AppData\Local\USB Type Determination\usbtypedetermination.exe файла этого не нашел. Показ скрытых включен.
Искал usbtypedetermination.exe поиском на диске c:\, с таким именем находит только файлы с расширением .dmp
Пробовал очищать журнал дефендера в безопасном режиме. После этого он этот вирус показал в количестве 5.
Поставил касперский про. Полное сканирование диска с: тоже ничего не выявило. Реестр им же чистил и файлы.
Ну и последние процедуры под Вашим руководством.

DESKTOP-3K1OB0J_2024-02-03_20-51-49_v4.15.1.7z

Ссылка на сообщение
Поделиться на другие сайты

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\PROGRAMS\555B9FD48D5E\1E2A9DC9C9.MSI
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\PROGRAMS\555B9FD48D5E\1E2A9DC9C9.MSI
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.DELTA-HOMES.COM/?UTM_SOURCE=B&UTM_MEDIUM=WPM0226&UTM_CAMPAIGN=INSTALLER&UTM_CONTENT=HP&FROM=WPM0226&UID=MAXTORX6V080E0_V22MK4WG&TS=1393411463
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAGIPNMMJNJCFGKHMLGIFIKMIBGNGBLOP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\RED GIANT LINK\RED GIANT LINK.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\EVNTAGNT.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM?FILES??X86?\ELICENSER\POS\SYNSOPOS.EXE
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\TEMP\AIDA64DRIVER.SYS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\121.1.62.156\ELEVATION_SERVICE.EXE
delref %Sys32%\DRIVERS\PFC.SYS
delref %SystemDrive%\PROGRAM FILES\SPYWARE PROCESS DETECTOR\SPD400.SYS
delref G:\AUTORUN.EXE
delref J:\SETUP.EXE
delref E:\GAME\DYING LIGHT\-DYINGLIGHTGAME-OFFLINE.EXE
delref %SystemDrive%\GAME\GTA5 [PREMIUM EDITION] (2015) PORTABLE BY CANEK77\GTA5.EXE
delref E:\GAME\WATCH DOGS LEGION\BIN\WATCHDOGSLEGION.EXE
delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\ESET\ESETONLINESCANNER\ESETONLINESCANNER.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt+ZOO_двта_время.7z из папки uVS, в ваше сообщение,

напишите по результату что с детектами происходит после скрипта.

Ссылка на сообщение
Поделиться на другие сайты

Детекты это в дефендере?

2024-02-03_21-40-55_log.txt ZOO_2024-02-03_21-40-55.7z

 

В дефендере этот вирус теперь еще в большем количестве, 10 записей одного и того же вируса.

Ссылка на сообщение
Поделиться на другие сайты
22 minutes ago, simon-martens said:

Детекты это в дефендере?

да, о них речь с самого начала

1 minute ago, simon-martens said:

В дефендере этот вирус теперь еще в большем количестве, 10 записей одного и того же вируса.

важно смотреть на даты, есть ли новые записи по дате и времени после того как был выполнен скрипт очистки

Ссылка на сообщение
Поделиться на другие сайты
3 minutes ago, simon-martens said:

Дата одна и та же 

сделайте скрин обнаружений, дата понятно что одна - сегодня, но время может быть разным

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

обратите, что даты все вчерашние(от 02.02.2024), т.е. на текущий момент нет обнаружений. Если у вас правильно сейчас выставлена системная дата.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Sv1gL
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • Андрей2029
      От Андрей2029
      Добрый день. Каждый раз после загрузки ПК вижу сообщение KIS о том, что в памяти обнаружена вредоносная программа. Выключить нельзя, KIS предлагает только лечить без перезагрузки и лечить с перезагрузкой. Лечу. Перезагруэаюсь, спустя какое-то время опять вижу это сообщение. Началось после установки Davinchi Resolve и его доп софта. Давинчи нужен.\
      Разумеется, я проводил полную проверку ПК и с помощью KIS, и через Kaspersky Virus Removal Tool, и через AVZ, даже Adwcleaner запускал - везде все по нулям, как до появления этого сообщения, так и после.
       


    • Shizgael
      От Shizgael
      microsoft security essential в автономном режиме находит но недолечивает после перезагрузки все возвращается обратно
      + видоизменяет хост добавляя в него все сайты антивирусов с нулевыми IP 
      file: C:\Program Files\Google\Chrome\updater.exe
      file: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC->(UTF-16LE)
      taskscheduler: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC
       
       
       
    • WyneX
      От WyneX
      Здраствуйте, столкнулся с такой проблемой, когда запускаю браузер, игру или какую-либо другую программу, вирус запускает много их копий - это  я заметил открыв диспетчер задач. Я попытался решить проблему сам, сначала я скачал Dr.web, просканировал - не помогло, сделал тоже самое, но в безопасном режиме - не помогло, снёс полностью виндовс - не помогло. Хочу уточнить, что копии открываются и в безопасном режиме. 
      CollectionLog-2024.06.11-05.26.zip
    • anonim7
      От anonim7
      Здравствуйте, вот который день мучаюсь и не знаю что делать.
      Как вирусы пробрались на компьютер понятия не имею, использовал много программ, ни одно из них не справляется. 
      Использовал следующие: RogueKiller, Dr.Web, Hitman Pro, AVZ, Kaspersky. Все запускались отлично, но некоторые из данных программ вовсе не видят вирусы, RogueKiller в свою очередь видит их все прекрасно, но искоренить их он не может.
      Долго думал переустановить Windows в связи с тем, что на компьютере нет ни каких важных файлов и т.д. На нем находятся исключительно игры.
      Помогите пожалуйста, буду признателен.
      !!! https://imgur.com/a/N6hkK1q !!!
×
×
  • Создать...