[РЕШЕНО] Trojan:Win32/Wacatac.D!ml

[Демосс]

открыл торрент файл для far cry 4, установщика не было, зато с вирусами)))
поместить в карантин или удалить через microsoft не могу, autologger заблокирован, нет прав доступа
на компьютере установлен frst, adwcleaner и hijackthis

[Sandor]

Здравствуйте!

 

12 минут назад, Демосс сказал:

autologger заблокирован

 

Что это значит? SmartScreen срабатывает?

Если да, нужно разрешить.

[Демосс]

Нет, пишет отказано в доступе. Но это происходит только, когда я начинаю сборку логов

[Sandor]

Пробуйте собрать логи в безопасном режиме.

[Демосс]

CollectionLog-2021.11.18-16.49.zip

[Sandor]

Скачайте AV block remover. (Или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Демосс]

CollectionLog-2021.11.18-17.55.zipAV_block_remove_2021.11.18-17.50.log
Сделано, извините за задержку.

[Sandor]

По непонятной пока причине в архиве нет логов AVZ. Попробуем выяснить.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

 

 

 

Архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

 

Дополнительно:

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[Демосс]

какой интересный вирус)))
при попытке запуска avz выдает ошибку и удалает файл av_z 
вот файлы с frst 

FRST.txt Addition.txt

Изменено 18 ноября, 2021 пользователем Демосс

[Sandor]

Деинсталлируйте бесполезный SpyHunter 5. Временно отключите защиту Malwarebytes.

Судя по скриншоту, ругается на файл avz.exe.exe, а вам нужно запустить ..\Autologger\AV\av_z.exe

Для верности, удалите Автологер и созданную им папку вместе с содержимым. Скачайте ещё раз, распакуйте и запустите. Покажите итоговый CollectionLog.

[Демосс]

удалил обе программы, поскольку malwarebytes не мог быть удален, отказ в доступе, пришлось удалять через бесопас. режим
запустил скрипт av_z в безопасном режиме, получилось
собрал collectionlog после скрипта 

CollectionLog-2021.11.19-14.21.zip

[Sandor]

Выполните скрипт из этого сообщения. AVZ используйте эту:

Цитата

C:\Users\Глеб\Downloads\AutoLogger\AutoLogger\AV\av_z.exe

 

Архив Report.zip прикрепите к следующему сообщению.

[Демосс]

под Report.zip имеется ввиду архив AutologgerReport.zip?
если да, тогда вот:AutoLoggerReport.7z 

[Sandor]

29 минут назад, Демосс сказал:

запустил скрипт av_z в безопасном режиме, получилось

Поясните, это какой скрипт вы выполняли?

 

31 минуту назад, Демосс сказал:

malwarebytes не мог быть удален, отказ в доступе, пришлось удалять через бесопас. режим

Сейчас сделайте так:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

Подробнее читайте в руководстве.
 

[Демосс]

Только что, Sandor сказал:

Поясните, это какой скрипт вы выполняли?

из прошлого сообщения.
 

var PathAutoLogger, CMDLine : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

Это сообщение появилось во время установки.
 При попытке запуска malwarebytes появляется ошибка.