Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml

[dmitrydmitry]

logss.rar

[Sandor]

Ещё раз уточню. Вредоносных файлов в системе нет. У Защитника только остались записи о разрешенных угрозах, которые мы пытаемся просто очистить.

Выполните следующий скрипт:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  closeprocesses:
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  cmd: @Echo on
  cmd: del /s /q "C:\programdata\microsoft\windows defender\scans\history\*.*"
  cmd: regsvr32 atl.dll
  cmd: regsvr32 wuapi.dll
  cmd: regsvr32 softpub.dll
  cmd: regsvr32 mssip32.dll
  startpowershell:
  set-mppreference -DisablePrivacyMode $true -force
  set-mppreference -ScanPurgeItemsAfterDelay 2 -force
  get-mpthreat
  get-mpthreatdetection
  get-mpcomputerstatus
  get-mppreference
  endpowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[dmitrydmitry]

Fixlog.txt

[Sandor]

Запустите FRST64.

Скопируйте:

SearchAll: C:\Program Files (x86)\ftHOnQmICHLU2; C:\Program Files (x86)\phqXUqlapMUn; C:\Program Files (x86)\UaoyJbnqSYajSbFVLFR; C:\Program Files (x86)\vELkaMebpIE; 2147735503; 2147735735; 2147737007; 2147737010

вставьте в поле поиска и нажмите кнопку Искать файлы.

Отчёт в виде файла SearchReg.txt прикрепите к следующему сообщению.

[dmitrydmitry]

SearchReg.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147735503
  DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147735735
  DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147737007
  DeleteValue: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction|2147737010
  DeleteKey: HKEY_USERS\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.B!ml&threatid=2147735503
  DeleteKey: HKEY_USERS\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.A!cl&threatid=2147735735
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[dmitrydmitry]

Fixlog.txt

о парочка исчезла 

[Sandor]

Как сейчас выглядит Защитник?

[dmitrydmitry]

в исключениях висят папки , из угроз парочка ушла  но не остальные не удаляются функцией " не разрешать "

[Sandor]

Тогда ждём ещё два дня.

[dmitrydmitry]

ок

[dmitrydmitry]

2 дня , пока все на месте)) 

 

[Sandor]

Давайте сделаем так. Вы знаете, что:

30.11.2021 в 14:33, Sandor сказал:

Вредоносных файлов в системе нет. У Защитника только остались записи о разрешенных угрозах, которые мы пытаемся просто очистить.

Тему закрывать не будем, а вы последите, изменится ли что со временем.

 

Почитайте Рекомендации после удаления вредоносного ПО

[Sandor]

@dmitrydmitry, если проблема сохраняется, поделайте следующее.

 

Запустите командную строку от имени администратора, введите

gpedit.msc

и нажмите Enter.

 

Покажите ваши настройки здесь:

 

 

Если отличаются от приведённых на скрине, измените значения на "Не задано".

Сообщите результат.