Перейти к содержанию
Правила раздела

Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml

dmitrydmitry

Автор dmitrydmitry
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 43
  • Создана
  • Последний ответ

Топ авторов темы

  • dmitrydmitry

    22

  • Sandor

    21

  • thyrex

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

Ещё раз уточню. Вредоносных файлов в системе нет. У Защитника только остались записи о разрешенных угрозах, которые мы пытаемся просто очистить.

Выполните следующий скрипт:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
closeprocesses:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
cmd: @Echo on
cmd: del /s /q "C:\programdata\microsoft\windows defender\scans\history\*.*"
cmd: regsvr32 atl.dll
cmd: regsvr32 wuapi.dll
cmd: regsvr32 softpub.dll
cmd: regsvr32 mssip32.dll
startpowershell:
set-mppreference -DisablePrivacyMode $true -force
set-mppreference -ScanPurgeItemsAfterDelay 2 -force
get-mpthreat
get-mpthreatdetection
get-mpcomputerstatus
get-mppreference
endpowershell:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Запустите FRST64.

Скопируйте: 

SearchAll: C:\Program Files (x86)\ftHOnQmICHLU2; C:\Program Files (x86)\phqXUqlapMUn; C:\Program Files (x86)\UaoyJbnqSYajSbFVLFR; C:\Program Files (x86)\vELkaMebpIE; 2147735503; 2147735735; 2147737007; 2147737010

вставьте в поле поиска и нажмите кнопку Искать файлы.

Отчёт в виде файла SearchReg.txt прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147735503
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147735735
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147737007
DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147737010
DeleteKey: HKEY_USERS\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.B!ml&threatid=2147735503
DeleteKey: HKEY_USERS\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.A!cl&threatid=2147735735
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

dmitrydmitry

dmitrydmitry

Опубликовано
  • Автор
Опубликовано

image.thumb.png.a5f4decc1c2845a70aca7962f42928dd.png

в исключениях висят папки , из угроз парочка ушла  но не остальные не удаляются функцией " не разрешать "

Sandor

Sandor

Опубликовано
Опубликовано

Давайте сделаем так. Вы знаете, что:

30.11.2021 в 14:33, Sandor сказал:

Вредоносных файлов в системе нет. У Защитника только остались записи о разрешенных угрозах, которые мы пытаемся просто очистить.

Тему закрывать не будем, а вы последите, изменится ли что со временем.

 

Почитайте Рекомендации после удаления вредоносного ПО

  • 1 месяц спустя...
Sandor

Sandor

Опубликовано
Опубликовано

@dmitrydmitry, если проблема сохраняется, поделайте следующее.

 

Запустите командную строку от имени администратора, введите 

gpedit.msc

и нажмите Enter.

 

Покажите ваши настройки здесь:

 

Screenshot_17.thumb.png.4bf683e6a2456c15a970a2f1d261cf26.png

 

Если отличаются от приведённых на скрине, измените значения на "Не задано".

Сообщите результат.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mayglu
      Шифровальщик [cordyceps2020@protonmail.ch] Trojan:Win32/Wacatac.D!ml
      Автор Mayglu
      Добрый день! В начале недели на офисных компьютерах были зашифрованы все файлы. Все файлы стали иметь окончание имен [cordyceps2020@protonmail.ch].[E2423395-35FCCA86] или [cordyceps2020@protonmail.ch].[A9514F0E-FFE68623]. В каждой папке есть фаил - how_to_decrypt.hta. Так же на одном компьюторе были файлы - DesktopLocker.exe и Advanced Ip Scanner 2.5 build 3567.exe. Заранее благодарю за содействие. На этой же машине где собирал логи, был найден троян - лежал тут (Local\Temp\svccae.exe).
      CollectionLog-2020.04.10-17.31.zip
      report1.log
      report2.log
      Addition.txt
      FRST.txt
      how_to_decrypt.7z
    • Timophey
      Возможно вирус, сам не понимаю
      Автор Timophey
      Здравствуйте, заметил в исключениях Защитника Windows много непонятных исключений. Потом я решил погуглить и наткнулся на пост человека с такой же проблемой. Вы решили его проблему через программу FRST64. Я решил попробовать тоже и скачал. После скачивания я запустил программу и нажал сканирование, а что дальше делать, как написано в инструкции, я не понимаю. Помогите пожалуйста разобраться.
      Сразу прикладываю архив с текстовыми документами
      FRST.rar
    • Vladik212
      [РЕШЕНО] Trojan:Win32/Wacatac.D!ml
      Автор Vladik212
      Здравствуйте. 
      Какой раз пытаюсь решить проблему с данным трояном. 
      Сейчас через FRST сделал сканирование (Прикрепляю логи)
      Помогите пожалуйста решить проблему, буду очень признателен.
      FRST.rar
      Хочу добавить что он висит в разрешенных угрозах и не убирается оттуда.
    • yetigastik
      [РЕШЕНО] Вирусы, обнаруженные Windows Defender'ом (Trojan:Script/Casur.A!cl, Trojan:Script/Wacatac/B!ml и др.)
      Автор yetigastik
      Здравствуйте, хотел бы обратиться за помощью в связи с ситуацией с вирусами на компьютере. Честно говоря, не знаю точно после чего эти вирусы появились, так как на протяжении месяца стояла пробная версия антивируса McAfee, которая эти вирусы так и не обнаружила. Обнаружил же их Windows Defender после удаление McAfee, находятся они в разделе "Разрешённые угрозы". Логи и скриншот прикрепил

      CollectionLog-2022.10.27-21.12.zip
    • Демосс
      [РЕШЕНО] Trojan:Win32/Wacatac.D!ml
      Автор Демосс
      открыл торрент файл для far cry 4, установщика не было, зато с вирусами)))
      поместить в карантин или удалить через microsoft не могу, autologger заблокирован, нет прав доступа
      на компьютере установлен frst, adwcleaner и hijackthis
×
×
  • Создать...