Перейти к содержанию

Trojan:Script/Wacatac.B!ml и вирусы в списке разрешенных угроз


Рекомендуемые сообщения

Как я понял, это уже классика целого раздела
Скачал файл, словил вирус, из антивирусов стоял только защитник винды 
Журнал защиты стал чист, после скачивания dr.web (до этого висел троян)  
 

image.png

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, Sandor сказал:

Здравствуйте!

 

Начните со стандартных логов по правилам: Порядок оформления запроса о помощи

CollectionLog-2021.11.23-17.26.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

 

2021-11-23_17-37-36.png

Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте не поддерживаемый Adobe Flash Player 32 PPAPI.

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - C:\Program Files\DrWeb\dwscanner.exe /full (file missing)
O22 - Task: 7856757 - C:\ProgramData\dir\V-K_D-J.exe /H (file missing)
O22 - Task: AdvancedUpdater - C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe /silentall -nofreqcheck -nogui (file missing)
O22 - Task: AdvancedWindowsManager #1 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 110 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #2 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 111 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #3 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 112 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #4 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 113 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #5 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 114 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #6 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 115 -t 8080 (file missing)
O22 - Task: jWefkAVtchZRPOn2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\pKXEtUIUU\XHqwJA.dll",#1

 

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, Sandor сказал:

Деинсталлируйте не поддерживаемый Adobe Flash Player 32 PPAPI.

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):


O22 - Task: (disabled) \Doctor Web\Dr.Web Daily scan - C:\Program Files\DrWeb\dwscanner.exe /full (file missing)
O22 - Task: 7856757 - C:\ProgramData\dir\V-K_D-J.exe /H (file missing)
O22 - Task: AdvancedUpdater - C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe /silentall -nofreqcheck -nogui (file missing)
O22 - Task: AdvancedWindowsManager #1 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 110 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #2 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 111 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #3 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 112 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #4 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 113 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #5 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 114 -t 8080 (file missing)
O22 - Task: AdvancedWindowsManager #6 - C:\Program Files (x86)\AW Manager\Windows Manager\AdvancedWindowsManager.exe -v 115 -t 8080 (file missing)
O22 - Task: jWefkAVtchZRPOn2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\pKXEtUIUU\XHqwJA.dll",#1

 

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Не нужно полностью цитировать предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {78B9DE0D-8421-4CC3-90A8-0F20FCD756B5} - System32\Tasks\ProactiveScan => C:\Users\User\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    2021-11-22 01:38 - 2021-11-22 21:04 - 000000000 ____D C:\ProgramData\DoBKggEwrzSbWlVB
    2021-11-22 01:01 - 2021-11-22 17:09 - 000000000 ____D C:\ProgramData\CqmTVwoEVTuVagVB
    2021-11-22 01:00 - 2021-11-22 01:00 - 000004850 _____ C:\WINDOWS\system32\Tasks\ProactiveScan
    2021-11-22 01:00 - 2021-11-22 01:00 - 000000000 ____D C:\Users\User\AppData\Local\AdvinstAnalytics
    2021-11-22 01:00 - 2021-11-22 01:00 - 000000000 ____D C:\ProgramData\rdpBVtbJFHHXJbt
    2021-11-22 01:00 - 2021-11-22 01:00 - 000000000 ____D C:\Program Files\temp_files
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8136]
    AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Sandor сказал:

 

так же висят в разрешенных, не убираются 

12 минут назад, Sandor сказал:

 

еще заметил в исключениях в защитнике винды 
image.png.5869d8f06b226aadcfc9cb90c6d5c24a.png

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • hleb
      От hleb
      Как понял это обычный набор вирусов набранных из -за неосторожности.CollectionLog-2021.12.08-19.10.zip
    • Салават
      От Салават
      Скачивал видеоредактор с непроверенного сайта и подхватил набор вирусов. Большинство удалил, но из разрешенных угроз никак не удаляются опасные вирусы: сколько не убирай - все равно появляются

      CollectionLog-2021.12.04-15.18.zip
    • Lesikma
      От Lesikma
      Доброго времени суток!
       
      Скачивала игры с непроверенных источников и поймала букет вирусов. Перечитала предыдущие темы, вижу что набор стандартный)
      Вирусы находятся в списке разрешенных угроз и конечно же - не удаляются оттуда. Стоит доктор веб и периодически ругается на них.
      Хотелось бы распрощаться с этими вирусами, буду благодарна за помощь 🙏


      CollectionLog-2021.11.25-20.16.zip
    • kinder_fortune
      От kinder_fortune
      Добрый день!
      У меня такая проблема: сразу при включении компьютера выскакивает сообщение от Касперского о трояне с названием mem:trojan.win64.generic.mem. Расположение: системная память. Лечить с перезагрузкой и без неё не помогает, буквально через минуту сообщение появляется снова. 
      Файл протоколов прикрепляю.
      CollectionLog-2021.11.22-21.11.zip
    • tim_spirit
      От tim_spirit
      Здравствуйте! Поймали шифровальщика Trojan-Ransom.MSIL.Crypmod.gen, предположительно, заражение произошло через открытый порт RDP (был включён удалённый рабочий стол с простым паролем).
      Система не переустанавливалась, запустили KVRT, папку карантина сохранили, могу отправить при необходимости.
      Зашифрованные файлы и оригинальная копия одного из файлов.rar Addition.txt FRST.txt Shortcut.txt
×
×
  • Создать...