Trojan:Win32/Wacatac.B!ml (D/G) etc

[Akuyama 0]

Добрый день, скачивал софт для мышки, ну вообщем скачал... Куча троянов и прочего, в "Разрешенные угрозы", достать из оттуда невозможно, возвращаются назад. 
Реестр чистил, KVRT и Dr,web проверял, нашли какие-то трояны, вроде удалили, но не помогло, через безопасный режим виндовс удалил программы которых наустанавливалось с софтом, все равно не помогает. 
Последняя надежда форум, или придется покупать винду и сносить. 
CollectionLog-2021.11.13-21.16.zip

[akoK 138]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Akuyama 0]

Addition_14-11-2021 13.54.53.txt FRST_14-11-2021 13.54.53.txt

[Sandor 1 253]

Деинсталлируйте бесполезный

Цитата

Loaris Trojan Remover 3.1.60

 

Далее:

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  cmd: sfc /scannow
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Akuyama 0]

Проблема осталась.

Fixlog_14-11-2021 22.35.00.txt

[Sandor 1 253]

В системе есть пользователь с именем

Цитата

W5lCRdjL6HByy7k9S

Он вам известен?

[Akuyama 0]

8 часов назад, Sandor сказал:

В системе есть пользователь с именем

Он вам известен?

Нет, но он появился еще задолго до этих троянов. 
Помоему этот пользователь создался автоматически с какой-то программой.

[Sandor 1 253]

Ещё один скрипт выполните, пожалуйста:

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  cmd: net user W5lCRdjL6HByy7k9S /delete
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Akuyama 0]

проблемка осталась

Fixlog.txt

[Sandor 1 253]

13.11.2021 в 20:25, Akuyama сказал:

возвращаются назад

Попробуйте их сейчас оттуда удалить.

[Akuyama 0]

13 минут назад, Sandor сказал:

Попробуйте их сейчас оттуда удалить.

все равно возвращаются

[Sandor 1 253]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Akuyama 0]

7 часов назад, Sandor сказал:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

скачал avt, закрыл не дожидаясь, надеюсь все верно

сделал, вместе с UVS показало вирус Trojan:Win32/Occamy.CED, надеюсь это нормально. 

 

LAPTOP-1PF9LE9G_2021-11-16_17-03-14_v4.11.11.7z

[Sandor 1 253]

14 минут назад, Akuyama сказал:

показало вирус Trojan:Win32/Occamy.CED, надеюсь это нормально

То есть, Защитник так среагировал на uVS? Если да, то не страшно.

 

Пока по-прежнему ничего серьёзного.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   
   ;---------command-block---------
   delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MICROSOFT\DEFRAGMENTATION\OPTIMIZATION.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
   zoo %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\VTOKKЕOАKЕ_DJ.LNK
   delall %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\VTOKKЕOАKЕ_DJ.LNK
   apply
   
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

Далее:

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Akuyama 0]

3 часа назад, Sandor сказал:

То есть, Защитник так среагировал на uVS? Если да, то не страшно.

 

Пока по-прежнему ничего серьёзного.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   
   ;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   
   ;---------command-block---------
   delref %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MICROSOFT\DEFRAGMENTATION\OPTIMIZATION.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
   zoo %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\VTOKKЕOАKЕ_DJ.LNK
   delall %SystemDrive%\USERS\DENIS\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\VTOKKЕOАKЕ_DJ.LNK
   apply
   
   deltmp
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

Далее:

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

 

scan.txt