Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Trojan:Script/Wacatac.B!ml и вирусы в списке разрешенных угроз

Larsvontrier

Автор Larsvontrier
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Larsvontrier

Larsvontrier

Опубликовано
Опубликовано

Как я понял, это уже классика целого раздела
Скачал файл, словил вирус, из антивирусов стоял только защитник винды 
Журнал защиты стал чист, после скачивания dr.web (до этого висел троян)  
 

image.png

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Larsvontrier

Larsvontrier

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

 

2021-11-23_17-37-36.png

Sandor

Sandor

Опубликовано
Опубликовано
3 минуты назад, Sandor сказал:

Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe

 

Sandor

Sandor

Опубликовано
Опубликовано
10 минут назад, Sandor сказал:

После перезагрузки системы соберите новый CollectionLog Автологером.

 

Sandor

Sandor

Опубликовано
Опубликовано

Деинсталлируйте не поддерживаемый Adobe Flash Player 32 PPAPI.

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать): 

O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - C:\Program Files\DrWeb\dwscanner.exe /full (file missing)
O22 - Task: 7856757 - C:\ProgramData\dir\V-K_D-J.exe /H (file missing)
O22 - Task: AdvancedUpdater - C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe /silentall -nofreqcheck -nogui (file missing)
O22 - Task: AdvancedWindowsManager #1 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 110 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #2 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 111 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #3 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 112 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #4 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 113 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #5 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 114 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #6 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 115 -t 8080 (file missing)
O22 - Task: jWefkAVtchZRPOn2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\pKXEtUIUU\XHqwJA.dll",#1

 

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Larsvontrier

Larsvontrier

Опубликовано
  • Автор
Опубликовано
10 минут назад, Sandor сказал:

Деинсталлируйте не поддерживаемый Adobe Flash Player 32 PPAPI.

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать): 


O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - C:\Program Files\DrWeb\dwscanner.exe /full (file missing)
O22 - Task: 7856757 - C:\ProgramData\dir\V-K_D-J.exe /H (file missing)
O22 - Task: AdvancedUpdater - C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe /silentall -nofreqcheck -nogui (file missing)
O22 - Task: AdvancedWindowsManager #1 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 110 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #2 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 111 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #3 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 112 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #4 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 113 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #5 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 114 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #6 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 115 -t 8080 (file missing)
O22 - Task: jWefkAVtchZRPOn2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\pKXEtUIUU\XHqwJA.dll",#1

 

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Не нужно полностью цитировать предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {78B9DE0D-8421-4CC3-90A8-0F20FCD756B5} - System32\Tasks\ProactiveScan => C:\Users\User\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
2021-11-22 01:38 - 2021-11-22 21:04 - 000000000 ____D C:\ProgramData\DoBKggEwrzSbWlVB
2021-11-22 01:01 - 2021-11-22 17:09 - 000000000 ____D C:\ProgramData\CqmTVwoEVTuVagVB
2021-11-22 01:00 - 2021-11-22 01:00 - 000004850 _____ C:\WINDOWS\system32\Tasks\ProactiveScan
2021-11-22 01:00 - 2021-11-22 01:00 - 000000000 ____D C:\Users\User\AppData\Local\AdvinstAnalytics
2021-11-22 01:00 - 2021-11-22 01:00 - 000000000 ____D C:\ProgramData\rdpBVtbJFHHXJbt
2021-11-22 01:00 - 2021-11-22 01:00 - 000000000 ____D C:\Program Files\temp_files
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8136]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Larsvontrier

Larsvontrier

Опубликовано
  • Автор
Опубликовано
2 минуты назад, Sandor сказал:

 

так же висят в разрешенных, не убираются 

12 минут назад, Sandor сказал:

 

еще заметил в исключениях в защитнике винды 
image.png.5869d8f06b226aadcfc9cb90c6d5c24a.png

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Bloodii
      Trojan:MSIL/Injector.AH!MTB
      Автор Bloodii
      Через временные промежутки выскакивает обнаружение. Первый скрин долбит комп.



      HOME-PC_2026-05-04_10-04-51_v5.0.5v x64.7z
    • mkukgh
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      Автор mkukgh
      Добрый день. Каспер находит сабж, но не устраняет проблему, долго ждал после предложения лечить с перезагрузкой, но без результата, сейчас каспер находит угрозы в файлах windows\system32\winlogon.exe и svchost.exe на скриншоте, устранять или нет? файлы системный критичные, боюсь нажимать "устранить". Логи приложил. Спасибо.

      CollectionLog-2026.04.10-14.28.zip
    • BReDD
      Trojan:PowerShell/Bynoco. RR!amc
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
×
×
  • Создать...