Перейти к содержанию
Правила раздела

[РЕШЕНО] Трояны Behavior:Win32/Execution.LR!ml, Trojan:Win32/Casur.A!cl, Trojan:Script/Wacatac.B,D,G!ml

sxhwre

Автор sxhwre
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

sxhwre Новичок

sxhwre

Опубликовано
Опубликовано

Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D,G,B!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.

В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник. Антивируса стороннего у меня не стояло. Прикрепил логиimage.png.b822d9cecefa2dfc42fd49c9adcc11c7.png

CollectionLog-2025.07.07-00.29.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Ссылка на комментарий
Поделиться на другие сайты
sxhwre Новичок

sxhwre

Опубликовано
  • Автор
Опубликовано

Извините но пишет что файл больше 5МБ, если конечно вам нужно скинуть этот файл .txt , за то оно пропускает WinRar вместе с этим текстовым файлом, подскажите что делать

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\METATRADER 5\TERMINAL64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\TS5GHDKOQ.DLL
delref WIN_MEDIAGET.COM
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delref HTTP://SEARCH-CDN.NET/FIP/?Q={SEARCHTERMS}
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNNLJJFDCHFGODFGCGBCDAEDIMAKJEJJE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\UAOYJBNQSYAJSBFVLFR\ANNIXUG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\YTRCIEIBRVQMC\LBURIKQ.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\YHYUOVVYU\YLLUBS.DLL
apply

regt 27
regt 28
regt 29
deltmp
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\CUSTOMRP\CUSTOMRP.EXE
delref %SystemDrive%\PROGRAM FILES\RAINMETER\RAINMETER.EXE
delref D:\НОВАЯ ПАПКА\VOICEAI.EXE
delref %SystemRoot%\TEMP\HZVSIKFQJBMCEAQZ\DVITHKWLSDFOXDT\BIGYJNM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\ATOM\APPLICATION\EVENTER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\KDKXFTFG1.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {AE81D5A2-A34B-4D93-8DF8-540DBCE48043}\[CLSID]
delref {AE776072-9FCA-48AF-941C-5759266BB644}\[CLSID]
delref {0F574355-9FBE-40DB-ACB8-81F6612BB909}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\BANDIMPEG1\BDFILTERS64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BANDIMPEG1\BDFILTERS.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref D:\NODE.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\CYBERGHOST 8\DASHBOARD.SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN64\EPICGAMESUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\EPIC ONLINE SERVICES\SERVICE\EPICONLINESERVICESHOST.EXE
delref %SystemDrive%\PROGRAMDATA\EQU8\TOTALLY ACCURATE BATTLEGROUNDS\BIN\ANTICHEAT.X64.EQU8.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\FREEVPN\FREEVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LOGMEIN HAMACHI\X64\HAMACHI-2.EXE
delref %SystemDrive%\PROGRAM FILES\HITMANPRO\HMPSCHED.EXE
delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP21.21\BASES\KLIDS.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\LOGMEIN HAMACHI\X64\LMIGUARDIANSVC.EXE
delref %SystemDrive%\USERS\USER\MEDIAGET2\LUMINATI-M\NET_UPDATER32.EXE
delref F:\VPN\V3.0.5\PROTONVPNSERVICE.EXE
delref F:\VPN\V3.0.5\RESOURCES\PROTONVPN.CALLOUTDRIVER.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TURBOVPN\TURBO_VPN-SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\RIOT VANGUARD\VGC.EXE
delref %SystemDrive%\PROGRAM FILES\RIOT VANGUARD\VGK.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.89\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\132.0.6834.111\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\116.0.5845.111\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\107.0.5304.88\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.0.2571\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\117.0.2045.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.62\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.92\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\124.0.2478.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref G:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\ATOM\APPLICATION\ATOM.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\OPERA.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\ASIO4ALL V2\ASIO4ALL WEB SITE.URL
delref D:\FL STUDIOO\FL64.EXE
delref D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\NEW TECHNOLOGY STUDIO\APPS\OPENIV\OPENIV.EXE
delref %SystemDrive%\PROGRAMDATA\ABLETON\LIVE 11 TRIAL\PROGRAM\ABLETON LIVE 11 TRIAL.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\BLUESTACKS-SERVICES\BLUESTACKSSERVICES.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\BLUESTACKS\BLUESTACKSLAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\DOTA2MODS\DOTA2MODS V4.EXE
delref D:\EXBO\JAVA\BIN\EXBOLAUNCHER.EXE
delref D:\FL STUDIO\FLSTUDIOTLAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\IGROUTKA-BROWSER\IGROUTKA-BROWSER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\MECHA-KEYS\MECHAKEYS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\OSU!\OSU!.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\TORTUGA GAME CLUB\TORTUGA GAME CLUB.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\ASIO4ALL V2\UNINSTALL.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\CHIA-BLOCKCHAIN\CHIA.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\CUSTOMRP\UNINS000.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\FLAUNCHER\FLAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\HIDEMY.NAME VPN 2.0\APP.EXE
delref D:\HOYOPLAY\LAUNCHER.EXE
delref D:\HOYOPLAY\UNINSTALL.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNPLAYER.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNUNINST.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\PYTHONW.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\PYTHON.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\PYTHONW.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\PYTHON.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHON.EXE
delref D:\RADMIR LAUNCHER\RADMIR_LAUNCHER.EXE
delref D:\RADMIR LAUNCHER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\LAUNCHERPATCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAM.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref D:\GDPS 2.2 PC V1.7.1\DEFAULT SETTINGS PATCHER.EXE
delref D:\GDPS 2.2 PC V1.7.1\GDPS-2.2-BY-USER666.EXE
delref D:\GAMES\ALAWAR.RU\MASYANYA.4-IN-1\BUNDLE.EXE
delref D:\GAMES\ALAWAR.RU\MASYANYA.4-IN-1\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALAWAR\ДЕТСКИЙ САДИК\KINDERGARTEN_RUSSIAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALAWAR\РОЖДЕСТВЕНСКИЕ ИСТОРИИ. ЩЕЛКУНЧИК. КОЛЛЕКЦИОННОЕ ИЗДАНИЕ\CHRISTMASSTORIES_NUTCRACKERCE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEVOSOFT.GAMES\DRM.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\VIDEOEDITOR.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\МОВАВИКА ВИДЕО 25.URL
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\THEISLAND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\DOWNLOAD MORE GAMES.URL
delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\UNINSTALL.EXE
delref D:\VOICEMOD V3\VOICEMOD.EXE
delref D:\VOICEMOD DESKTOP\VOICEMODDESKTOP.EXE
delref D:\НОВАЯ ПАПКА\NETMARBLE LAUNCHER\NETMARBLE LAUNCHER.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Ссылка на комментарий
Поделиться на другие сайты
sxhwre Новичок

sxhwre

Опубликовано
  • Автор
Опубликовано

Прикрепил логи дата_времяlog.txt, но не понял что значит новые логи frst, точнее не понял как пользоваться программой FRST

2025-07-07_13-47-00_log.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Ссылка есть на пошаговую инструкцию в строке сообщения.

Цитата

добавьте новые логи FRST для контроля

Обычно, все справляются с ней.

Скачать - запустить программу -  нажать кнопку "сканировать" - ждать пока завершится процесс сбора логов - полученные файлы FRST.txt и Addition.txt добавить в ваше сообщение.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {C3E6C748-70CB-4CCB-8A58-30C365081102} - System32\Tasks\gKDeXCvGs => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2025-03-28]
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ddppjphjahihociddnfpkoeofkmlphkj
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ceclkdhfmmdcookcafhafakpdnminfbd
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\glgemekgfjppocilabhlcbngobillcgf
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\hbefblnmnfhojjbobppmigppodgnakkg
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\eooeicnmpidhncifckijgbdignbfmfnd
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ooejfmkmdkilcbdcladepkaekbokjibg
AlternateDataStreams: C:\PerfLogs:err [1890]
AlternateDataStreams: C:\WINDOWS\system32\.crusader:F1EF9579D6 [2594]
AlternateDataStreams: C:\ProgramData\TEMP:C0E4282C [236]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [227]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Binance.lnk:DD5AD5ED02 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk:6BCDFBBA1F [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7716]
AlternateDataStreams: C:\Users\User\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\User\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Сделайте и добавьте новые логи FRST для контроля.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • leon4324
      Trojan:Win32/Wacatac.B!ml
      Автор leon4324
      скачал с сайта какого то кряк на вегас про 17, виндовс дефендер сразу начал ругаться кинул угрозу о том что появился троян Trojan:Win32/Wacatac.B!ml и дальше посыпалось открывание смд и повер шелов, сразу кинул на удаление трояна, посыпалось куча других. закрывал браузер и была какая то белая иконка в диспечере   сейчас он грузит это   дк вб присылает это, я не знаю че делать


      так же это приложение которое 6fk висит в диспечере
      вот логи
    • Сергей3113
      Trojan:script/wacatac.b!ml в списке разрешенных угроз
      Автор Сергей3113
      В списке разрешенных угроз лежит 3 трояна, достать которые оттуда не выходит — постоянно возвращаются, хотя сканером их поидее удаляло.
      Так-же пробовал много утилит для удаления вирусов и сканирования ПК но тут тоже не задача, при открытии утилиты допустим (доктор веб) зависает окно а после выдает ошибку "windows не удается получить доступ к указанному устройству пути или файлу возможно у вас нет нужных разрешений для допуста к этому объекту" пробовал решить и эту проблему все без результата. Заходил в безопасный режим но там этих ошибок попросту нет, утилиты запускаются а троянов нет в разрешенных угрозах. Помогите решить эту проблему уже не знаю куда обращаться.
       


    • Kaross
      [РЕШЕНО] Trojan:Win32/Wacatac.B!m
      Автор Kaross
      Добрый день! Не могу понять, почему антивирусник жалуется на Trojan:Win32/Wacatac.B!ml ?! Уже проверял через все возможные утилиты (включая Kaspersky), но ничего не нашло. Жалуется только антивирусник от Windows. Пытался удалить троян по тем путям, которые он затронул. Но бесполезно. Также пытался удалить через сам этот защитник. Но при нажатии на кнопку "Удалить" или "Поместить в карантин", ничего не меняется. Что делать? Помогите, пожалуйста, буду признателен!

    • Vlad Problema
      Пишет что Trojan:Win32/Wacatac.B!ml на диске Е (file E:\setup.exe), но у меня такого диска нету
      Автор Vlad Problema
      Скачивал игру с проверенного сайта и после скачки мне пишет что у меяе троян, я все удалил, но пишет что вирус на диске Е которого у меня нету, его не в карантин не удалить нельзя через виндовс дефендер, чекал все скрытые файлы нечего нету
×
×
  • Создать...