Обнаружил на компе Trojan:Win32/Wacatac, удаляет всё что связано с Kasper*** и т.д., с помощью загрузочной флешки от касперского пытался его удалить но безуспешно

[Albert_1777]

  В 01.12.2020 в 17:50, regist сказал:

Чем обнаружили?

Показать  

Обнаружил Kaspersky Rescue Disk

KRD2018_Data.rarПолучение информации...

[regist]

  В 02.12.2020 в 06:00, Albert_1777 сказал:

  В 01.12.2020 в 17:50, regist сказал:

Чем обнаружили?

Показать  

Обнаружил Kaspersky Rescue Disk

Показать  

Выше вам написал, что это не так. А вы опять, не знаю сознательно или нет, но вводите других в заблуждение. Это детект скорее всего защитника виндоус, а Kaspersky Rescue Disk у вас нашёл только

Radiance/wizard.exe HEUR:Trojan.Win32.Generic
Radiance/wahiver.exe NetTool.Win32.Agent.accv
Radiance/wasp.exe NetTool.Win32.Agent.accu
R-Studio.v8.14.179693-RSLOAD.NET-.rar HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen

 

 

 

Изменено 2 декабря, 2020 пользователем regist

[Albert_1777]

  В 02.12.2020 в 07:41, regist сказал:

Выше вам написал, что это не так. А вы опять, не знаю сознательно или нет, но вводите других в заблуждение. Это детект скорее всего защитника виндоус, а Kaspersky Rescue Disk у вас нашёл только

Radiance/wizard.exe HEUR:Trojan.Win32.Generic
Radiance/wahiver.exe NetTool.Win32.Agent.accv
Radiance/wasp.exe NetTool.Win32.Agent.accu
R-Studio.v8.14.179693-RSLOAD.NET-.rar HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen

 

 

 

Показать  

Я не выдумывал бы. Запустился с загрузочной флешки касперского, поставил полную проверку. Выдало одну угрозуTrojan:Win32/Wacatac , нажал удаление вируса, после перезагрузки проблема не решилась и по заголовку данного вируса я и наткнулся на Ваш форум где попросил помощи. 

 

  В 02.12.2020 в 07:41, regist сказал:

Выше вам написал, что это не так. А вы опять, не знаю сознательно или нет, но вводите других в заблуждение. Это детект скорее всего защитника виндоус, а Kaspersky Rescue Disk у вас нашёл только

Radiance/wizard.exe HEUR:Trojan.Win32.Generic
Radiance/wahiver.exe NetTool.Win32.Agent.accv
Radiance/wasp.exe NetTool.Win32.Agent.accu
R-Studio.v8.14.179693-RSLOAD.NET-.rar HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen

 

 

 

Показать  

Windows Defender недоступен, в панели управления просто белый ярлык висит  и всё. Запустить и обратиться к нему никак не могу.

 

  В 02.12.2020 в 07:41, regist сказал:

Выше вам написал, что это не так. А вы опять, не знаю сознательно или нет, но вводите других в заблуждение. Это детект скорее всего защитника виндоус, а Kaspersky Rescue Disk у вас нашёл только

Radiance/wizard.exe HEUR:Trojan.Win32.Generic
Radiance/wahiver.exe NetTool.Win32.Agent.accv
Radiance/wasp.exe NetTool.Win32.Agent.accu
R-Studio.v8.14.179693-RSLOAD.NET-.rar HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen
R-Studio.v8.14.179693-RSLOAD.NET-/R-Studio.v8.14.179693.exe HEUR:AdWare.Win32.Agent.gen

 

 

 

Показать  

Подскажите пожалуйста, можно ли решить как-нибудь моему проблему? 

Radiance/wizard.exe HEUR:Trojan.Win32.Generic
Radiance/wahiver.exe NetTool.Win32.Agent.accv
Radiance/wasp.exe NetTool.Win32.Agent.accu

Данные вирусы удалил, но без изменений

[thyrex]

  В 02.12.2020 в 07:46, Albert_1777 сказал:

Я не выдумывал бы. Запустился с загрузочной флешки касперского, поставил полную проверку. Выдало одну угрозуTrojan:Win32/Wacatac

Показать  

Вам же предельно ясно написали, что обнаружено у Вас при проверке KRD. И взята эта информация из отчетов KRD, которые Вы предоставили.

[regist]

1) Заархивируйте в zip архив с паролем virus содержимое каталога

C:\Windows\SysWOW64\Radiance

Архив загрузите на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) , ссылку на скачивание пришлите мне в ЛС.

 

Если не получится это сделать в обычном режиме, то попробуйте из безопасного. Если в нём тоже не получится, то загрузитесь с загрузочной флешки/диска и с неё.

 

Если есть следующие файлы

C:\Windows\system32\reminder.exe
c:\windows\psexesvc.exe
C:\Windows\system32\Tasks\Microsoft\Windows\Location\GoogleUpdateTask
C:\Windows\system32\Tasks\Microsoft\Windows\Location\GoogleUpdateCore

 

их также заархивируйте и пришлите.

 

2) Удалите вручную файл

c:\windows\psexesvc.exe

 

3) Смените пароли от всех учётных записей.

[regist]

1) "Пофиксите" в HijackThis:

Две строчки в секции O22  строчки с заданиями GoogleUpdateTask и GoogleUpdateCore.

 

Сам HijackThis найдёте в папке с Автологером.

2) Потом соберите свежий лог HijackThis

 

3) Заархивируйте и пришлите мне ещё файлы

C:\Windows\BitLocker.exe
C:\Windows\BitLocker.dll

После этого переименуйте их в другое имя.

 

Если с первыми двумя пунктами будут проблемы, то попробуйте 3-й пункт выполнить первым (это не принципиально).

 

4) На всякий случай попробуйте ещё раз собрать логи Автологером.

PS. Свободного времени не так много, так что извините за задержки в ответах.

 

  В 04.12.2020 в 13:37, regist сказал:

На всякий случай попробуйте ещё раз собрать логи Автологером.

Показать  

перед тем как снова попробуете собрать перезагрузите компьютер.

[Albert_1777]

  В 04.12.2020 в 13:37, regist сказал:

1) "Пофиксите" в HijackThis:

Две строчки в секции O22  строчки с заданиями GoogleUpdateTask и GoogleUpdateCore.

 

Сам HijackThis найдёте в папке с Автологером.

2) Потом соберите свежий лог HijackThis

 

3) Заархивируйте и пришлите мне ещё файлы

C:\Windows\BitLocker.exe
C:\Windows\BitLocker.dll

После этого переименуйте их в другое имя.

 

Если с первыми двумя пунктами будут проблемы, то попробуйте 3-й пункт выполнить первым (это не принципиально).

 

4) На всякий случай попробуйте ещё раз собрать логи Автологером.

PS. Свободного времени не так много, так что извините за задержки в ответах.

 

перед тем как снова попробуете собрать перезагрузите компьютер.

Показать  

Удивительно. Но данные файлы куда-то пропали и предыдущие которые я Вам архивировал тоже исчезли. Хотя я их не удалял. Удалил только один единственный файл который Вы мне говорили. Я окончательно запутался.

[Sandor]

Пункты 2 и 4 выполните в любом случае.

[Albert_1777]

  В 07.12.2020 в 13:16, Sandor сказал:

Пункты 2 и 4 выполните в любом случае.

Показать  

аааа - лог HijackThis

ло - лог Автологера(стандартный скрипт №2)

aaaa.logПолучение информации...

ло.txtПолучение информации...

Изменено 14 декабря, 2020 пользователем Albert_1777

[Sandor]

  В 14.12.2020 в 07:12, Albert_1777 сказал:

аааа - лог HijackThis

Показать  

Это лог старой версии. Используйте ту, что в составе Автологера - ...\Autologger\HiJackThis

 

  В 14.12.2020 в 07:12, Albert_1777 сказал:

ло - лог Автологера(стандартный скрипт №2)

Показать  

Тоже не верно. Нужен архив с именем virusinfo_syscheck.zip

 

И переименовывать логи не нужно.

[regist]

  В 14.12.2020 в 07:12, Albert_1777 сказал:

лог Автологера

Показать  

Помимо того, что это не то, так и запускали не Автологер, а AVZ старый полиморф. К тому же запускали из терминальной сессии, а все логи надо собирать сидя за этим компом, а не через терминал. Возможно из-за этого вы сейчас и не можете найти файлы.

Попробуйте пока скачать свежую версию Автологера по ссылке из правил и собрать логи, как указано в правилах. Если не получится, то

  В 30.11.2020 в 16:58, regist сказал:

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Выполните скрипт в АВЗ (Файл - Выполнить скрипт) - открыть файл Script2.txt (лежит в той же папке рядом) и выполнить его.

Показать  

Только из терминальной сессии им логи в любом случае собрать не сможете (он прямо вам об этом сообщит), а если опять исчезнете на такой длинный срок то сообщит и про устаревание.

 

 

И если логи по прежнему нельзя собрать, то свежий лог Гмера тоже сделайте и прикрепите.

[Albert_1777]

  В 14.12.2020 в 08:08, regist сказал:

Помимо того, что это не то, так и запускали не Автологер, а AVZ старый полиморф. К тому же запускали из терминальной сессии, а все логи надо собирать сидя за этим компом, а не через терминал. Возможно из-за этого вы сейчас и не можете найти файлы.

Попробуйте пока скачать свежую версию Автологера по ссылке из правил и собрать логи, как указано в правилах. Если не получится, то

Только из терминальной сессии им логи в любом случае собрать не сможете (он прямо вам об этом сообщит), а если опять исчезнете на такой длинный срок то сообщит и про устаревание.

 

 

И если логи по прежнему нельзя собрать, то свежий лог Гмера тоже сделайте и прикрепите.

Показать  

Автологером обычным не получилось, не даёт распаковать av_z(пишет нет доступа). Но получилось скачать свежий полиморф, закинул его в папку автологер и запустил Script2.txt

CollectionLog-2020.12.16-09.31.zipПолучение информации...

[Sandor]

Архив получился пустой.

Переименуйте файл avz (тот, что вы закинули) в любое другое имя из четырех символов и запустите ещё раз script2.

Изменено 16 декабря, 2020 пользователем Sandor

[Albert_1777]

  В 16.12.2020 в 08:14, Sandor сказал:

Архив получился пустой.

Переименуйте файл avz в любое другое имя из четырех символов и запустите ещё раз script2.

Показать  

файл avz скрывается, если даже переименовать его.

[Sandor]

  В 14.12.2020 в 08:08, regist сказал:

Попробуйте тогда скачать распакованный Автологер, запустить там файл ..\AutoLogger\AV\av_z.exe

Показать  

Речь об этом файле?