Перейти к содержанию
Правила раздела

[РЕШЕНО] Trojan:Win32/Wacatac.B!ml - при каждом запуске Windows выдаёт, что находит данный вирус, и кидает его в карантин

Alex816

Автор Alex816
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Alex816

Alex816

Опубликовано
Опубликовано (изменено)

При каждом запуске виндовс Windows, что находит вредоносное ПО, кидает его в карантин. Удалить не получается, а каждый раз включать и видеть ошибку не хочется. По журналу начало появляться тогда, когда я пытался установить прогу для соединения с фотоаппаратом Nikon 5.10.2025. Могу ошибаться 

CollectionLog-2025.10.21-00.46.zip

1.PNG

Изменено пользователем Alex816
Alex816

Alex816

Опубликовано
  • Автор
Опубликовано (изменено)

FRST.txtAddition.txt

WIN-AEMO5VP8EJ8_2025-10-21_01-13-48_v5.0.3v x64.7z

 

Извиняюсь, после прогона программ, которые были предложенных в форумах на этом сайте по похожим проблемам (FRST и UVS), а также Kaspersky Virus Removal Tool, проблема появляться перестала. Однако не знаю, получилось ли полностью справиться с трояном
Прикрепляю zip-архив с собранными логами, сообщения выше тогда считаю не актуальными.
Спасибо

CollectionLog-2025.10.21-02.00.zip

Изменено пользователем Alex816
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

6 часов назад, Alex816 сказал:

а также Kaspersky Virus Removal Tool

Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {5F4BDB17-861F-4AA6-BE45-ABCE7241CF69} - System32\Tasks\UpdateTorrent => C:\Users\user\AppData\Roaming\utorrent\UtorrentWeb.exe [76304096 2025-09-05] () [Файл не подписан] [Файл уже используется] <==== ВНИМАНИЕ
C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\emmoambmiekmaihcgdihbkbebapdkfbc
C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgcblkmakahmlinoegdjedobgjinmiah
C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\fboooapclkbhfclnjbijjknjhpcbiakm
2025-09-05 15:58 - 2025-09-05 15:58 - 000000599 _____ () C:\Users\user\setup.dat
FirewallRules: [{CA6E1B0C-BEF4-4BB9-93C7-EF7CCF920D75}] => (Allow) D:\program files\asus\aacambienthal\aacambientlighting.exe => Нет файла
FirewallRules: [{7BF3BBD5-7F27-4076-BEAC-A8A2CA7341B9}] => (Allow) C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{881D5D1A-4CE1-4F5F-BC72-0BADC9007843}] => (Allow) C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{24AE96B8-DE61-4B9F-B078-815F64B928A8}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{31E96553-BD2E-46C7-ABA9-42767384384F}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
endbatch:
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Включите защиту от подделки Защитника Windows.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Если проблема решена, в завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Alex816

Alex816

Опубликовано
  • Автор
Опубликовано

Спасибо
Я так понимаю, неплохо бы было создать резервную копию системы, чтобы к ней если что, можно было вернуться?

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

Резервные копии - это вообще полезно.

 

Исправьте по возможности:

NVIDIA App 11.0.4.526 v.11.0.4.526 Внимание! Скачать обновления
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
FastStone Image Viewer 6.2 v.6.2 Внимание! Скачать обновления
VLC media player v.2.2.5.1 Внимание! Скачать обновления
Yandex v.25.8.4.761 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
uTorrentClient 2.7.5 v.2.7.5 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Дополнительные сканирования не нужны, просто удалите нежелательные программы.

 

Читайте Рекомендации после удаления вредоносного ПО

Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Марк Громов
      Проблема с вирусом или трояном.
      Автор Марк Громов
      Здравствуйте, возникла проблема. При запуске ПК программа "Безопасность Windows" предупреждает об опасности и помещении угрозы в карантин.
       
      Обнаружено:
      Adware:Win32/BrowserAssistant
       
      Затронутый элемент:
      file: C:\Users\User\AppData\Local\Temp\nsw9C71.tmp\7z-out\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Xqretu
      [РЕШЕНО] Вирусы удалены, BITS_bkp и Dosvc_bkp остались
      Автор Xqretu
      Примерно неделю назад проверял ПК вирусы. Все удалил, по итогу Центр обновления Windows и microsoft store всё время выдавали ошибку в скачивании, зашёл в реестр и увидел что остались файлы bits_bkp и dosvc_bkp, пытался удалить, не получилось.
    • Эхехех
      Самосрабатывание клавиш (Scroll Lock, F12, PrtScrn и др.)
      Автор Эхехех
      Здравствуйте!

      Периодически самопроизвольно срабатывают клавиши, открывается панель элементов (F12 в Мазиле), делаются скриншоты. Kaspersky Virus Removal Tool, Dr.Web CureIt ничего не обнаружили. Проблема возникла после установки на комп какой-то порно игры (журнал браузера и история загрузок почищены, потому откуда скачана неизвестно).
       
      Ребята, никогда не доверяйте свой ПК подросткам без присмотра
       

      CollectionLog-2025.12.28-20.58.zip
×
×
  • Создать...