Перейти к содержанию
Правила раздела

Trojan:Script/Wacatac.B!ml и вирусы в списке разрешенных угроз

Larsvontrier

Автор Larsvontrier,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Sandor

Sandor 1 253

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
StartRegedit:
Windows Registry Editor Version 5.00

[SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection]
"DisableBehaviorMonitoring"=-
"DisableOnAccessProtection"=-
"DisableScanOnRealtimeEnable"=-

EndRegedit:
StartBatch:
pushd\windows\system32
bcdedit.exe /set {default} recoveryenabled yes
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
wmic SERVICE where name="BITS" call changestartmode"manual"
wmic SERVICE where name="dcomlaunch" call changestartmode "automatic"
wmic SERVICE where name="rpceptmapper" call changestartmode "automatic"
wmic SERVICE where name="rpcss" call changestartmode "automatic"
wmic SERVICE where name="usosvc" call changestartmode "delayedautomatic"
wmic SERVICE where name="sdrsvc" call changestartmode"manual"
wmic SERVICE where name="msiserver" call changestartmode"manual"
wmic SERVICE where name="trustedinstaller" call changestartmode"manual"
wmic SERVICE where name="vss" call changestartmode"manual"
wmic SERVICE where name="wuauserv" call changestartmode"manual"
wmic SERVICE where name="windefend" call changestartmode "automatic"
wmic SERVICE where name="wdnissvc" call changestartmode"manual"
wmic SERVICE where name="mpssvc" call changestartmode "automatic"
wmic SERVICE where name="securityhealthservice" call changestartmode "automatic"
endbatch:
startpowershell:
Set-MpPreference -DisableAutoExclusions $true -Force
set-mppreference -mapsreporting basic -Force
set-mppreference -DisableRealtimeMonitoring $false -Force
set-mppreference -DisablePrivacyMode $true -Force
set-mppreference -DisableIOAVProtection $false -Force
set-mppreference -CheckForSignaturesBeforeRunningScan $true -Force
set-mppreference -PUAProtection enabled -Force
Update-MpSignature
Start-MpScan -ScanType QuickScan
Remove-MpThreat
set-mppreference -quarantinepurgeitemsafterdelay 1 -force
set-mppreference -scanquarantinepurgeitemsafterdelay 1 -force
endpowershell:
startpowershell:
Get-MpComputerStatus
get-mppreference
get-mpthreatdetection
endpowershell:
CreateRestorePoint:
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions
exportkey: hkcu\software\classes\ms-settings\shell\open\command
exportkey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
exportkey: SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection
emptytemp:
cmd: del /s /q "C:\WINDOWS\SysWOW64\*.tmp"
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано
1 час назад, Larsvontrier сказал:

еще заметил в исключениях в защитнике винды

Сейчас попробуйте их удалить.

И разрешенные угрозы тоже если есть, пробуйте удалить.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Как понимаю, в итоге установилась.

Повторите сканирование и удалите (поместите в карантин) только

Цитата

Файл: 
Trojan.Agent.E, C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE, Проигнорировано пользователем, 3601, 717813, 1.0.47539, , ame, , , 

 

 

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
startpowershell:
Set-MpPreference -ScanPurgeItemsAfterDelay 5
endpowershell:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Нет, не несут.

Пока ждём, проверим следующее:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • larmaswed
      самовосстанавливающийся вирус
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
    • kptsv
      HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen
      От kptsv
      Добрый день.
      Kaspersky Security для Windows Server 10.1.2.996 выдает сообщение, что обнаружены троянские программы HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen. Проверка kvrt ничего не нашла. Dr.Web CureIt тоже ничего не нашел.
      Сообщение заносится в журнал каждый час. Как избавиться от напасти?
      CollectionLog-2024.02.29-08.17.zip kaspersky_log.csv.zip
    • bon1kk
      Trojan.Multi.GenAutorunProc.a
      От bon1kk
      Здравствуйте! Столкнулся с проблемой..на компьютер попал троян...несколько дней назад он появился, я сразу же с помощью антивируса Касперского вроде как удалил его вместе с перезагрузкой компьютера. Через 2 дня вирус снова был обнаружен на компьютере. Как он попадает? И как избавиться от него навсегда? Касперский помогает лишь на несколько дней...работаю с ADS browser, в подобной теме видел что у ребят это вылезает из-за перехода по ссылке которую касперский метит, и не значит что файл в системе, верно!? В последний раз заходил на этот сайт, и сейчас снова показывает как подозрительный, может быть ли это из-за него?


    • Shkine
      [РЕШЕНО] Trojan:Win32/Malgent!MTB
      От Shkine
      Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.


      Addition.txt FRST.txt
×
×
  • Создать...