Перейти к содержанию

[РЕШЕНО] Trojan:Win32/Wacatac.D!ml


Рекомендуемые сообщения

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата


NetShield Kit 1.3.40.0
 

 

"Пофиксите" в HijackThis:

	R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
	R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
	R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
	O17 - DHCP DNS 2: 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{98fc2bcf-d82c-11e7-8b06-806e6f6e6963}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{9e2f48f8-2c95-4861-9f6d-16a02da7e4ad}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{a0bbdbee-6c0f-404e-bb57-35cc7c7671a2}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{c8590665-b370-4e23-a607-8d672375154a}: [NameServer] = 37.59.58.122
	O22 - Task: ACebGKLIWrNtBBZYe2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\hRLPhinczpadDEDWtlR\qBQwxQt.dll",#1
	O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade
	O22 - Task: UJpLqWQuvujiHAQUOrH2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\rKJynLrOvgnIC\ofObilP.dll",#1
	O22 - Task: VPVyoPDujUodEo - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\mmLcMYLNOiuU2\MwUKTupzCyFeQ.dll",#1



 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKU\S-1-5-21-915363819-2331218686-1454633553-1001\...\Run: [AceStream] => C:\Users\Wishnya\AppData\Roaming\ACEStream\engine\ace_engine.exe
    FF HKU\S-1-5-21-915363819-2331218686-1454633553-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Wishnya\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
    CHR Notifications: Default -> hxxps://mail-notification.info
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxps://www.google.com/"
    C:\Users\Wishnya\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
    
    C:\Users\Wishnya\AppData\Local\Google\Chrome\User Data\Default\Extensions\mojknhmjfanggmphddklmlgehhnbmkmo
    
    CHR HKU\S-1-5-21-915363819-2331218686-1454633553-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
    2020-10-21 12:53 - 2020-10-21 13:36 - 000000000 ____D C:\ProgramData\ZVGGBJVDFLOWaJVB
    NetShield Kit 1.3.40.0 (HKLM-x32\...\{8bc41a47-540a-4127-a405-3769ba5bf553}) (Version: 1.3.40.0 - Sigma Software) Hidden
    AlternateDataStreams: C:\ProgramData\.rdata:X [526]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]
    FirewallRules: [{31650B4A-607F-467B-9F1A-61F8B93676E4}] => (Allow) LPort=25565
    FirewallRules: [{60056A33-CA5F-4E64-9BD1-34E095E54D72}] => (Allow) LPort=25565
    FirewallRules: [{0DC6622B-7993-4C15-95FD-1D49A588395F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{8851C2E0-533D-4271-B631-53E91E259C25}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{1E6A83F3-9135-4169-8434-F5E0E9303E54}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{4154A31F-7537-4847-ADF6-75FEBEF96D2D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{109698F5-2A55-4889-BD96-A40EB5EB5127}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{A4215D06-F184-4552-B903-69245D7B579F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
    FirewallRules: [{E85AA48C-C82B-4942-8393-C720A3476B9A}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
    FirewallRules: [{726D43E3-5D4F-493D-820C-4257454E5668}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
    FirewallRules: [{E7CE693B-C19E-482E-A2BC-34A4E09F2DB2}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
    FirewallRules: [{D4954364-5427-4DE8-886C-312989E9EA03}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

В перечне установленных программ появится NetShield Kit 1.3.40.0, на этот раз удалите его.

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

К сожалению SecurityCheck не смог обновить базы данных и я продолжила сканирование с локальными базами, скачивать его также пришлось через vpn т.к. сайт не загружался.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Не страшно, локальная база относительно свежая.

 

--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
XnView 2.40 v.2.40 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Timophey
      От Timophey
      Здравствуйте, заметил в исключениях Защитника Windows много непонятных исключений. Потом я решил погуглить и наткнулся на пост человека с такой же проблемой. Вы решили его проблему через программу FRST64. Я решил попробовать тоже и скачал. После скачивания я запустил программу и нажал сканирование, а что дальше делать, как написано в инструкции, я не понимаю. Помогите пожалуйста разобраться.
      Сразу прикладываю архив с текстовыми документами
      FRST.rar
    • Vladik212
      От Vladik212
      Здравствуйте. 
      Какой раз пытаюсь решить проблему с данным трояном. 
      Сейчас через FRST сделал сканирование (Прикрепляю логи)
      Помогите пожалуйста решить проблему, буду очень признателен.
      FRST.rar
      Хочу добавить что он висит в разрешенных угрозах и не убирается оттуда.
    • dmitrydmitry
      От dmitrydmitry
      Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.
      В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.
      Анивируса стороннего у меня не стояло. 
      Подскажите пожалуйста как или чем можно убрать данный троян.
      Сделал логи (приклепляю)
      CollectionLog-2021.11.22-20.22.zip
    • Демосс
      От Демосс
      открыл торрент файл для far cry 4, установщика не было, зато с вирусами)))
      поместить в карантин или удалить через microsoft не могу, autologger заблокирован, нет прав доступа
      на компьютере установлен frst, adwcleaner и hijackthis
    • Egor1ch
      От Egor1ch
      появился Trojan:Win32/Wacatac.D!ml в исключениях WD при попытке его удалить после перезагрузки пк всеравно в исключениях
      FRST.zip

×
×
  • Создать...