Перейти к содержанию

[РЕШЕНО] Trojan:Win32/Wacatac.D!ml в исключении защитника


Рекомендуемые сообщения

появился Trojan:Win32/Wacatac.D!ml в исключениях WD при попытке его удалить после перезагрузки пк всеравно в исключениях

FRST.zip

WD.png

Изменено пользователем Egor1ch
Ссылка на сообщение
Поделиться на другие сайты
3 минуты назад, Mark D. Pearlstone сказал:

не могу скачать Autologger (не переходит по ссылке), установлен Farbar Recovery Tool

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Mark D. Pearlstone сказал:

И на зеркало ссылку пробовали?

Да, даже ВПН не помогает, я прикрепил файл от Farbar Recovery Tool

P.s. видел у вас им тоже исправляли данную проблему

 

 

Изменено пользователем Egor1ch
Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, akoK сказал:

Что конкретно устанавливаете? При том, что есть конкретный детект на файл Trojan:Win32/Sabsik.FT.A!ml

Вчера пробовал установить Adobe Primiere Pro, даже не запускал установщик, а просто открыл торрент файл и вот это появилось

(установил autologger c safezone и сделал проверку логов)

 

Изменено пользователем Egor1ch
Ссылка на сообщение
Поделиться на другие сайты

А торрент файл случаем не был исполняемым файлом или "архивом" с торрент файлом?

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    
    IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\system32\systray.exe
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    
    IE trusted site: HKU\S-1-5-21-2132373503-1232257029-1108149644-1001\...\webcompanion.com -> hxxp://webcompanion.com
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Скорее всего был, т.к. при его запуске нового торрента не появилось и вообще ничего не произошло

 

Изменено пользователем Egor1ch
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Lany
      Лазил по ПК зашёл в одну из папок и виндовс обнаружил вирус Trojan:Win32/Wacatac.D!ml,он был помещён в карантин не знаю удалился ли он полностью помогите! 
    • От Asag_ds98
      Добрый день!.
      Вчера скачал посторенний софт, и после установления появились вирусы, которые невозможно удалить через Windows defender (Трояны, и т.д).
      Суть состоит в том, что вирус добавляет в исключения, и после кнопки "Не разрешать", возвращается и этот цикл бесконечный. (Скриншот прикреплен)
      Смотрел большинство форумов, установил программу  Farbar Recovery Scan Tool, и сделал проверку ( Файлы с проверкой прикреплены)
      Жду помощи, т.к в этом мало что понимаю. 
      Спасибо!
       
       

      FRST+Addition.rar
    • От Wishnya
      Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит.
      CollectionLog-2020.10.21-14.46.zip
    • От Вячеслав Александрович
      Доброй ночи, сутки уже бьюсь с этим умным вирусом дистанционно по rdp )
      вирус
       - блокирует установку любых антивирусов
       - скрывает любые файлы и ставит защиту с если в именах есть различные слова типа antivirus, avg, kaspersky, avast и т.д. набор большой перепробовал уже больше 10ка утилит и антивирусов, переименовав установщик что то получается запустить но программы начинают устанавливаться в свои типичные папки, например касперский вылетает, потому что не может, что то поставить в свою папку в с:\ProgramData   и т.д.
      вирус автостартует, из скрытой и заблокированной папки C:\Windows\SysWOW64\Radiance, на которую указывал один из подозрительных процессов, доступ к папке удалось получить только через r.saver !!! методом посекторного сканирования с востановлением структуры папок, в итоге там запускной троян wizard.exe который запускает пакетный файл на сканирование узлов в интернете на доступ по rdp на порт 3389 (кстати обилие-тысячи таких запросов в минуту в фаерволе и забивание канала и стала причиной расследования) 
      -так же было обнаружено 2 задачи в планировщике замаскированные под googleupdate, но ссылались на эту папку C:\Windows\SysWOW64\Radiance, их пока удалось почистить, но  продолжаю искать способ удаления вируса дистанционно и где откуда он стартует, 
      в папке C:\Windows\SysWOW64\Radiance еще 2 папки Alpha и Omega 
      в Alpha промежуточные служебные файлы которые запускает wizard.exe по цепочке -> csrss.exe -> service.exe ->conhost.exe 
      так же в альфу складываются логи работы по опросу и берется список IP сетей из текстовых файлов
      в папке Omega так же лежит пара копий service.exe и судя по всему утилита шифрования gpg.exe с ключами шифрования в папке keyring
       
      ссылку на логи FarBar и подробные картинки выложил в архиве вот на обачном диске и прикрепил к сообщению
      https://mega.nz/file/c650BQqQ#e3i5tVExz_TT72LPxbdEmL2qtjw21JETe5s4rJRtJFo
       
      если нужно могу выслать все файлы самого вируса, через r.saver удалось сделать копии ))
       
      Проще было бы уже винду переустановить, или снять хард и грохнуть всю эту заразу с другого пк, но любопытство победить дистанционно одолевает )), поможете в борьбе?
       
      p.s. на текущий момент после убийства всех процессов  wizard.exe -> csrss.exe -> service.exe ->conhost.exe   и удаления задач в планировщике, вирус не рестартует, но он запустится после перезагрузки ОС, уверен на 100%
       

       
      вирус1.zip
    • От Mayglu
      Добрый день! В начале недели на офисных компьютерах были зашифрованы все файлы. Все файлы стали иметь окончание имен [cordyceps2020@protonmail.ch].[E2423395-35FCCA86] или [cordyceps2020@protonmail.ch].[A9514F0E-FFE68623]. В каждой папке есть фаил - how_to_decrypt.hta. Так же на одном компьюторе были файлы - DesktopLocker.exe и Advanced Ip Scanner 2.5 build 3567.exe. Заранее благодарю за содействие. На этой же машине где собирал логи, был найден троян - лежал тут (Local\Temp\svccae.exe).
      CollectionLog-2020.04.10-17.31.zip
      report1.log
      report2.log
      Addition.txt
      FRST.txt
      how_to_decrypt.7z
×
×
  • Создать...