Перейти к содержанию

Trojan:Win32/Wacatac.B!ml & Trojan:Win32/Occamy.C


Рекомендуемые сообщения

Здравствуйте.

Выполните Порядок оформления зпроса о помощи

Логи прикрепите к следующему сообщению в данной теме.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2515351868-1970929539-1533671337-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{F3EE224C-5656-4ED3-BF4B-7388F8A719A4}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{A8C4D9E3-C2B9-4EA6-A39F-5BD5E1DB240F}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{9FD559DA-D1C3-4AF8-92A5-9C08530EA4F8}C:\users\user\.lunarclient\offline\jre\jre1.8.0_131\bin\javaw.exe] => (Allow) C:\users\user\.lunarclient\offline\jre\jre1.8.0_131\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{521E8C2A-A58F-407A-95FA-B610A8EB2130}C:\users\user\.lunarclient\offline\jre\jre1.8.0_131\bin\javaw.exe] => (Allow) C:\users\user\.lunarclient\offline\jre\jre1.8.0_131\bin\javaw.exe => Нет файла
FirewallRules: [{9BEF035E-2DC4-4970-B025-93575C995BA9}] => (Allow) C:\Users\User\AppData\Local\Temp\download\MiniThunderPlatform.exe => Нет файла
FirewallRules: [{F9AF4FB1-28A4-4D94-BCFF-8B9A7923E7CF}] => (Allow) C:\Users\User\AppData\Local\Temp\download\MiniThunderPlatform.exe => Нет файла
FirewallRules: [{BCCFAB10-ED0D-4F3B-8D36-0B16E4337E3B}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{B6CD39E2-5AD1-4E3D-8267-7A458400EA22}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{10B2F4C0-20A9-416E-BA52-785D3AEEF355}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{4A45686E-D68F-4927-88DD-17DF61057F04}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => Нет файла
FirewallRules: [{3AD798A3-9513-4B29-8315-1198A065660A}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{E491A569-93C1-406A-A924-033A8F62F299}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => Нет файла
FirewallRules: [{ACE3C6C0-AD69-41EE-9685-7C5F8738228C}] => (Allow) C:\Users\User\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{4E2F4D65-7F41-4AE2-9F55-1CA2883CAE04}] => (Allow) C:\Users\User\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{FDDF4549-DA00-463F-835F-F6AB4BB551E1}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{826296FF-6834-4A45-8C7F-1DF9F7C00F9A}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
  • 5 months later...

@corn77, здравствуйте!

 

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От JiK
      Добрый день. Проблема с удаленным доступом злоумышленников, который возможно остался после заражения ПК.
      Суть вопроса: Возможна ли ситуации, что даже после очистки ПК и переустановки системы у злоумышленника остался доступ к моему ПК? Подробнее я описал в теме соседнего раздела, но отписать сюда.
      Вот тема: 
       
    • От JiK
      Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.
      Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.
       
      Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).
      Ссылка на вредоносный сайт, где можно скачать софт  :
       
      Полная хронология событий:

      1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.
       
      2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации.  Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя  почему-то не предал этому значение).

      3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой.  Вирусов в системе никаких нет.
       
      На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
      Ещё раз извиняюсь, что без логов, но ситуация такая.
    • От _bezuss_
      В защитнике Вигдовс в списке "разрешенные" трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят!!!

    • От tuvumba
      Недавно обнаружил на рабочем компе вирус, попытки вручную удалить не увенчались успехом. При буте в нормальном режиме снова всё возвращается. Kaspersky Virus Removal Tool находит Winmon.sys, windefender, csrss и прочие файлы. Логи прилагаю.
      CollectionLog-2021.07.21-12.09.zip
    • От Slog_gkh
      Зашифровали все данные на двух серверах.
      vir.zip Addition.txt FRST.txt
×
×
  • Создать...