Перейти к содержанию
Правила раздела
Задай вопрос Александру Горубнову!
Как попасть в «Лабораторию Касперского» за 1 день? Очень просто.
Открыт набор заявок на ежегодную программу стажировок SafeBoard

[РЕШЕНО] Trojan:script/wacatac.b!ml в списке разрешенных угроз

liltrick001

Автор liltrick001,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

liltrick001

liltrick001 0

Опубликовано
Опубликовано

В списке разрешенных угроз лежит толпа вирусов, достать которые оттуда не выходит — постоянно возвращаются, хотя самих вирусов (вероятно) на устройстве уже нет.

оно.png

CollectionLog-2021.11.11-12.38.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 990

Опубликовано
Опубликовано

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Web Companion

YoutubeDownloader

 

 

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 990

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

удалите принудительно через Geek Uninstaller

То есть, на нужной строке - правой кнопкой мыши - Удалить принудительно.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 990

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2381062383-1405885900-577980070-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Нет файла)
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {37EEE5D1-DCB2-4108-B9D5-45C491A71B1C} - System32\Tasks\TotalAdblockLogonUpdate => C:\Users\Катерина Мазур\AppData\Local\Programs\TotalAdblock\Updater.exe [1687346 2021-11-05] (TotalAdblock) [Файл не подписан]
C:\Users\Катерина Мазур\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\gekdekpbfehejjiecgonmgmepbdnaggp
C:\Users\Катерина Мазур\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
C:\Users\Катерина Мазур\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\gekdekpbfehejjiecgonmgmepbdnaggp
C:\Users\Катерина Мазур\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
C:\Users\Катерина Мазур\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\gekdekpbfehejjiecgonmgmepbdnaggp
C:\Users\Катерина Мазур\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
CHR HKLM-x32\...\Chrome\Extension: [gekdekpbfehejjiecgonmgmepbdnaggp]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
2021-11-06 18:57 - 2021-11-06 18:57 - 000000000 ____D C:\ProgramData\malldir
2021-11-06 18:57 - 2021-11-06 18:57 - 000000000 ____D C:\ProgramData\lHjrXdDXBnTtvtdrL
2021-11-05 18:49 - 2021-11-05 18:49 - 000000000 ____D C:\ProgramData\hxlVHBxVRFHJXjXDL
2021-11-05 18:49 - 2021-11-05 18:49 - 000000000 ____D C:\ProgramData\hBXjRLhJnLVRnPbLp
2021-11-05 17:49 - 2021-11-11 07:49 - 000000000 ____D C:\Program Files (x86)\eajUMzoAKIE
2021-11-05 17:49 - 2021-11-11 00:51 - 000000000 ____D C:\Program Files (x86)\hnyiePjyKdPtMhYmOrR
2021-11-05 17:49 - 2021-11-10 21:05 - 000000000 ____D C:\Program Files (x86)\dnoRMFcGzCsqC
2021-11-05 17:49 - 2021-11-10 19:06 - 000000000 ____D C:\Program Files (x86)\tfVpIivjVFzU2
2021-11-05 17:49 - 2021-11-10 14:11 - 000000000 ____D C:\Program Files (x86)\IKoqMevVnkUn
2021-11-05 17:48 - 2021-11-11 00:51 - 000000000 ____D C:\Program Files (x86)\vdTpoepTU
2021-11-05 17:47 - 2021-11-05 17:47 - 000003636 _____ C:\WINDOWS\system32\Tasks\TotalAdblockLogonUpdate
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1189.1 - AVAST Software) Hidden
Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{fc13e948-7d9e-4f76-9aff-498b9eab7511}) (Version: 1.0.0.0 - TotalAdblock) Hidden
EmptyTemp:
Reboot:
End::
  •  
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появятся скрытые ранее

Цитата

 

Avast Update Helper

Total Adblock - Free AdBlocker 1.0.0.0

 

Удалите (инструкции прежние).

 

И опять там виден YoutubeDownloader. Удалите ещё раз.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 990

Опубликовано
Опубликовано

Завершаем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 990

Опубликовано
Опубликовано

-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
 

 

Читайте Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Anton70
      Шифровальщик WinLock@keemail.me
      От Anton70
      Добрый день!
       
      Словил шифровальщик.
      Похоже что зашли на сервер по RDP.
      Зашифровано всё, в том числе и бэкапы. 
      Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki
       
      Есть способ расшифровать такие файлы ?
       
      [mod]Не надо выкладывать вирусы на форуме[/mod] 
      FRST.zip files.zip
    • Andreyuser
      Подозрение на маскировку процесса hasplms.exe сканировал avz
      От Andreyuser
      У меня периодически вылетает окно не хватает памяти озу и грузится процессор, хотя ни какие  игры и высоконагруженные процессы не были запущены, антивирус установлен kaspersky endpoint security. 
      При сканировании avz  выдал "Подозрение на маскировку процесса hasplms.exe".
      CollectionLog-2022.05.08-17.34.zip
      Сведения о системе.zip
    • loppener
      [РЕШЕНО] вирус(троян?) блокирует запуск установки винды, скрыл автозагрузки, подмена крипто кошельков
      От loppener
      случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 
    • Predator21
      Поймал майнер PuzzleMedia (PRINT.EXE)
      От Predator21
      Скрытно нагружает видеокарту на 100%, это наблюдается в MSI Afterburner, но не наблюдается в диспетчере задач. Пытался почистить при помощи UnHackMe, помогает только до первой перезагрузки, после майнер устанавливается заново.
      CollectionLog-2022.05.01-01.22 (1).zip
    • autobriz
      Только на одном сайте, постоянно выскакивает уведомление что переход остановлен, вредоносная ссылка...
      От autobriz
      Здравствуйте.
       
      Пользуюсь Яндекс браузером. При входе на сайт stoloto.ru,  один раз обнаружилось вот это:
       
      Событие: Загрузка остановлена
      Пользователь: asus\A
      Тип пользователя: Активный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Троянская программа
      Название: HEUR:Trojan.Multi.Preqw.gen
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      MD5: B250C91E8BA793C565004E1F8783E03C
      Причина: Экспертный анализ
      Дата выпуска баз: 25.04.2022 4:41:00
       
      Потом, постоянно стало выскакивать вот это:
       
      Событие: Переход остановлен
      Пользователь: NT AUTHORITY\СИСТЕМА
      Тип пользователя: Системный пользователь
      Имя программы: browser.exe
      Путь к программе: C:\Users\A\AppData\Local\Yandex\YandexBrowser\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://sonar.semantiqo.com/4e3ll/analize.js
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: analize.js
      Путь к объекту: https://sonar.semantiqo.com/4e3ll
      Причина: Базы
      Дата выпуска баз: Сегодня, 27.04.2022 8:59:00
       
      Что за беда приключилась, чего делать-то...?
      На вирусы проверял, ничего не нашлось.
       
       
×
×
  • Создать...