Перейти к содержанию

Рекомендуемые сообщения

Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит. Сообщение от него остается. Находит здесь: file: C:\ProgramData\Setup\update.exe->(AutoIT)->wini.exe

CollectionLog-2020.05.14-15.57.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:

HKLM-x32\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-761535804-2969590917-2823949084-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {2AD868CD-54EF-4A4B-B54F-12C6640FE302} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
Task: {37D50B8C-015C-4F09-BB16-64367701F470} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {3D39B147-4D58-4A12-8DD3-C8D5876ACAC6} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {4DCA0763-8CDA-42C0-B38D-58E707A7E204} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {66C47943-239A-4513-B02E-CF075BE1D553} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {7955A209-A602-40F6-AD28-3280C37AF727} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {7BF20330-C0BE-4932-90E6-A68B7E116951} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {BA3C2DA0-BB61-42CB-A432-2ECA1B696602} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {BA86245C-523A-440B-8035-B3496B78D6CB} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {C579395D-C47D-408D-B9FF-5951DFB86CA4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {CB233FB4-E8D1-4EE6-B6DB-A2611BE95851} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {DF866B8E-8CAE-4A03-A32E-90EA84330CFF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {E085C524-8027-4E68-81A8-E4821D82165D} - \MySQL\Installer\ManifestUpdate -> No File <==== ATTENTION
Task: {F8510D3E-E5B9-4AB9-8529-C26907689521} - \WPD\SqmUpload_S-1-5-21-761535804-2969590917-2823949084-1001 -> No File <==== ATTENTION
Task: {F8AC0991-D92A-4CFB-8F44-69262B59EE8D} - System32\Tasks\Microsoft\Windows\Wininet\SystemC => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\RunDLL
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\Norton
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\McAfee
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\grizzly
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\ESET
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\360safe
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\ESET
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\COMODO
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\Cezurity
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\ByteFence
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\AVG
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files\AVAST Software
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-05-14 15:22 - 2020-05-14 15:22 - 000000000 __SHD C:\Program Files (x86)\360
2020-05-14 15:15 - 2020-05-14 15:22 - 000000000 __SHD C:\ProgramData\Setup
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Lany
      Лазил по ПК зашёл в одну из папок и виндовс обнаружил вирус Trojan:Win32/Wacatac.D!ml,он был помещён в карантин не знаю удалился ли он полностью помогите! 
    • От Asag_ds98
      Добрый день!.
      Вчера скачал посторенний софт, и после установления появились вирусы, которые невозможно удалить через Windows defender (Трояны, и т.д).
      Суть состоит в том, что вирус добавляет в исключения, и после кнопки "Не разрешать", возвращается и этот цикл бесконечный. (Скриншот прикреплен)
      Смотрел большинство форумов, установил программу  Farbar Recovery Scan Tool, и сделал проверку ( Файлы с проверкой прикреплены)
      Жду помощи, т.к в этом мало что понимаю. 
      Спасибо!
       
       

      FRST+Addition.rar
    • От Wishnya
      Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит.
      CollectionLog-2020.10.21-14.46.zip
    • От Вячеслав Александрович
      Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )
      вирус
       - блокирует установку любых антивирусов
       - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData   и т.д.
      вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) 
      -так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но  продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, 
      в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega 
      в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe 
      так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов
      в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring
       
      ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению
      https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo
       
      если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))
       
      Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе?
       
      p.s. на текущий момент после убийства всех процессов  wizard.exe -> csrss.exe -> service.exe ->conhost.exe   и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%
       

       
      вирус1.zip
    • От Mayglu
      Добрый день! В начале недели на офисных компьютерах были зашифрованы все файлы. Все файлы стали иметь окончание имен [cordyceps2020@protonmail.ch].[E2423395-35FCCA86] или [cordyceps2020@protonmail.ch].[A9514F0E-FFE68623]. В каждой папке есть фаил - how_to_decrypt.hta. Так же на одном компьюторе были файлы - DesktopLocker.exe и Advanced Ip Scanner 2.5 build 3567.exe. Заранее благодарю за содействие. На этой же машине где собирал логи, был найден троян - лежал тут (Local\Temp\svccae.exe).
      CollectionLog-2020.04.10-17.31.zip
      report1.log
      report2.log
      Addition.txt
      FRST.txt
      how_to_decrypt.7z
×
×
  • Создать...