Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml

dmitrydmitry

Автор dmitrydmitry
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

dmitrydmitry Новичок

dmitrydmitry

Опубликовано
Опубликовано

Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.

В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.

Анивируса стороннего у меня не стояло. 

Подскажите пожалуйста как или чем можно убрать данный троян.

Сделал логи (приклепляю)

trojans.thumb.jpg.30bed41c4047bb8fb4a448c89859e423.jpgCollectionLog-2021.11.22-20.22.zip

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 43
  • Создана
  • Последний ответ

Топ авторов темы

  • dmitrydmitry

    22

  • Sandor

    21

  • thyrex

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {0a513a37-6ced-4e5b-9eae-14ce994061e3} - отсутствует путь к файлу
Task: {10411102-929d-40c5-8d83-e8c157371704} - отсутствует путь к файлу
Task: {24fdb815-fb05-4b2a-b639-1d2bb9574e1e} - отсутствует путь к файлу
Task: {25d2e2ff-4863-42f9-8edb-ac607266d324} - отсутствует путь к файлу
Task: {2bd2cfe6-138b-4d1b-852d-bb88f88180b8} - отсутствует путь к файлу
Task: {2cd6cbe8-fc28-4c92-ac89-4d406c05c1d4} - отсутствует путь к файлу
Task: {2f56518d-c87b-4b84-9945-70fbcd3146b9} - отсутствует путь к файлу
Task: {3692fb7f-5228-480c-ad71-a6aa1558b88e} - отсутствует путь к файлу
Task: {37e4b769-627e-4b31-ad93-0c2797c2d2fe} - отсутствует путь к файлу
Task: {3c9b892e-f860-4da4-9de0-42cb7cb9af38} - отсутствует путь к файлу
Task: {428d1316-1325-4f93-a815-f896c1db5b88} - отсутствует путь к файлу
Task: {4e8d77fd-582f-4440-8981-95c2a75e2945} - отсутствует путь к файлу
Task: {5d3f49d3-da60-4498-9ed4-ec794497fcee} - отсутствует путь к файлу
Task: {61c764a2-e688-40d3-91e0-7dcfd8276523} - отсутствует путь к файлу
Task: {6304360a-9d30-41d6-af57-f95e5099d47b} - отсутствует путь к файлу
Task: {6789e9c1-f6bc-4582-9cd2-43030a63531b} - отсутствует путь к файлу
Task: {69222801-0d2d-4d2b-90d0-a58d67718e4f} - отсутствует путь к файлу
Task: {75e1e6fb-76e2-4e9e-ac60-fe034e49bd70} - отсутствует путь к файлу
Task: {7d9c3974-f5a8-4af9-96cf-084a66604029} - отсутствует путь к файлу
Task: {841ae7ad-a64c-47ea-b486-070da0d7b8d3} - отсутствует путь к файлу
Task: {920a53d9-3ec3-4cba-833b-7354f41ecec2} - отсутствует путь к файлу
Task: {9b695c15-182c-4126-a61e-7271ee7aa4d7} - отсутствует путь к файлу
Task: {9cb211d9-b03b-4fe1-8b6c-424d9ad4208f} - отсутствует путь к файлу
Task: {9ecb6ad8-63da-4176-9ce3-00149501fd59} - отсутствует путь к файлу
Task: {ad488235-7894-4f8c-898b-7ad54d40b705} - отсутствует путь к файлу
Task: {af5b413f-9ded-4283-a1e7-a99b6256dd37} - отсутствует путь к файлу
Task: {b7d32053-8090-4d32-b104-fba1228ac999} - отсутствует путь к файлу
Task: {ba892003-ca34-41a2-bafc-5327d1465cc2} - отсутствует путь к файлу
Task: {be8efc68-e305-41b2-abc8-6e140bb68bb8} - отсутствует путь к файлу
Task: {c30a190c-b727-4d08-b134-c861e8a73120} - отсутствует путь к файлу
Task: {c4c374c2-fa4d-4c5f-8601-1b66f84a2180} - отсутствует путь к файлу
Task: {cb7d5b0e-beb0-420a-8044-7bdd80940e01} - отсутствует путь к файлу
Task: {d01673fa-97cf-4901-bb13-843c358bc387} - отсутствует путь к файлу
Task: {d512a9de-1f88-4a48-b0ec-edee71b268a9} - отсутствует путь к файлу
Task: {d8ce4e08-05e1-43f6-8cce-443773c0ca74} - отсутствует путь к файлу
Task: {d9cdce43-d649-4d6f-b297-7877bbd4b3b4} - отсутствует путь к файлу
Task: {df841bce-90c0-44bf-82c5-5731e398e7db} - отсутствует путь к файлу
Task: {e0be9b08-c6f1-4803-aec8-286556e98eeb} - отсутствует путь к файлу
Task: {e354fb56-5703-4e44-a2cb-2840baed8907} - отсутствует путь к файлу
Task: {f19793fa-9e72-4e34-b7a6-53d76991fe24} - отсутствует путь к файлу
Task: {f284ea15-8a05-4416-90ef-5aa3beeb19d6} - отсутствует путь к файлу
Task: {fa16f4d9-7d8d-47f8-930f-acf6915160cc} - отсутствует путь к файлу
Task: {fafc338c-3129-48ea-b699-a1d964ac41f6} - отсутствует путь к файлу
Task: {fbbfab21-3aec-4967-acd9-faf134da54e7} - отсутствует путь к файлу
ProxyServer: [S-1-5-21-2388967026-2170893197-641793823-1001] => 127.0.0.1:8080
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
CHR HKU\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
AV: Norton Security (Disabled - Out of date) {A2708B76-6835-6565-CB96-694212954A75}
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMSwissArmy => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMSwissArmy => ""="Driver"
FirewallRules: [{CD4BD524-9C3B-4233-94DA-46BFED05B0D1}] => (Allow) LPort=32682
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Вставлять никуда не нужно, вы правильно всё сделали.

Выполните сброс настроек браузера Опера.

 

Сообщите что с проблемой.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Ещё один скрипт выполните.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\Blackmagic Design\DaVinci Resolve\Resolve.exe
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Очистите журнал Защитника:

  1. В строке поиска или в меню выполнить (Win+R) введите eventvwr и нажмите Enter.
  2. Зайдите в “Журналы приложений и служб” => “Microsoft” => “Windows” => “Windows Defender” = > “Operational” = > нажмите на “Очистить журнал”.
  3. Нажмите на “Очистить”.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пробуем так:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
startpowershell:
Set-MpPreference -ScanPurgeItemsAfterDelay 10
endpowershell:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      [РЕШЕНО] Трояны Behavior:Win32/Execution.LR!ml, Trojan:Win32/Casur.A!cl, Trojan:Script/Wacatac.B,D,G!ml
      Автор sxhwre
      Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D,G,B!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.
      В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник. Антивируса стороннего у меня не стояло. Прикрепил логи
      CollectionLog-2025.07.07-00.29.zip
    • DonorRaboti
      [РЕШЕНО] Подозрение на троян Trojan:Win32/Wacatac.B!ml
      Автор DonorRaboti
      Добрый день, по своей глупости скачал файл exe и запустил его после чего на компьютере появились рекламные ярлыки на рабочем столе и как будто часть сайтов с антивирусным по затормозились. Сканировал Dr.Web CureIt и KVRT, но ничего не было найдено того, что ранее не видел. Возможно, видел новый созданный профиль в Windows, подписанный как неизвестный или что-то такое и удалил его. Проверки Антивирусами ничего не выявляли, кроме пары файлов в корзине. Сам компьютер, как мне показалось, иногда подвисал, словно был загружен, но в диспетчере задач, как и в resmon ничего не выявил. На VirusTotal при проверке файла указывало на вредоносное ПО, содержащее Trojan:Win32/Wacatac.B!ml. Также заметил, что не могу попасть на сайт safezone.cc, скачивал автологер через 2 зеркало
      CollectionLog-2025.06.19-02.13.zip
    • Alexey82
      [РЕШЕНО] Прошу помощи с удалением Trojan:Win32/Kepavll!rfn
      Автор Alexey82
      Добрый день.
      Прошу помощи в удалении Trojan:Win32/Kepavll!rfn.
       
      Сработал стандартный Защитник Windows (Windows 10) Microsoft Defender.
      В папке ProgramData появилось много папок с названиями всех известных антивирусов, при попытке открыть страницы в браузере с упоминанием о удалении троянов - браузер закрывается.
      Прогнал CureIt, нашел угрозы, удалил не всё, лог приложил.
      Объясню сразу момент - приложение GPP Remote Service установлено мной лично для доступа к домашнему ноуту.
      Собственно все началось после того, как захотел ознакомиться с игрой Wizardum, как ни странно скачивал торрент отсюда (h__s://bуrutgаmе.оrg/41154-wizоrdum.htmI), в момент запуска установщика, на него выругался Microsoft Defender.
       
      Прошу помощи с удалением.
       
      Заранее спасибо откликнувшимся специалистам.
      CollectionLog-2025.06.27-06.20.zip cureit.rar
    • ewixis
      Trojan:Win64/DisguisedXMRigMiner ,Trojan:Win32/Wacatac.A!m
      Автор ewixis
      Защитник виндовс понятное дело удалять отказывается, действие "удалить" ничего не происходит
      Обнаружено: Trojan:Win64/DisguisedXMRigMiner
      Состояние: Активно
      Обнаружено: Trojan:Win32/Wacatac.A!m
      Состояние: Активно
       
      Касперский и докторвеб - ничего не находят
       Farbar Recovery Scan Tool
      показал следущее
      Addition.txt FRST.txt
    • leon4324
      Trojan:Win32/Wacatac.B!ml
      Автор leon4324
      скачал с сайта какого то кряк на вегас про 17, виндовс дефендер сразу начал ругаться кинул угрозу о том что появился троян Trojan:Win32/Wacatac.B!ml и дальше посыпалось открывание смд и повер шелов, сразу кинул на удаление трояна, посыпалось куча других. закрывал браузер и была какая то белая иконка в диспечере   сейчас он грузит это   дк вб присылает это, я не знаю че делать


      так же это приложение которое 6fk висит в диспечере
      вот логи
×
×
  • Создать...