Перейти к содержанию

Trojan:Script/Wacatac.B!ml, Trojan:Win32/Casur.A!cl и его друзья


Рекомендуемые сообщения

3 минуты назад, Revilandeo сказал:

Malwarebytes блокирует исходящее подключение

Деинсталлируйте его.

 

Проясню: сейчас в системе нет ничего вредоносного. Мы просто пытаемся очистить пустые записи Защитника.

 

Ещё так попробуем:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    closeprocesses:
    cmd: @Echo on
    cmd: del /s /q "C:\programdata\microsoft\windows defender\scans\history\*.*"
    startpowershell:
    set-mppreference -DisablePrivacyMode $true -force
    set-mppreference -ScanPurgeItemsAfterDelay 2 -force
    get-mpthreat
    get-mpthreatdetection
    get-mpcomputerstatus
    get-mppreference
    endpowershell:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Не знаю что такого ужасного о нем говорят :)

В целом, неплохо справляется со своими задачами. Но вот бывают такие казусы.

 

Последним скриптом время хранения подобных записей задано два дня. Давайте подождем и посмотрим.

 

Пока проверьте уязвимые места и устаревшее критическое ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
VMware Workstation v.16.1.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.8.1.9.2 Внимание! Скачать обновления
Wireshark 3.4.9 64-bit v.3.4.9 Внимание! Скачать обновления
OpenOffice 4.1.10 v.4.110.9807 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Easy 7-Zip v0.1.6 (x64) v.0.1.6 (x64) Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
(при установленном 7z обычном, нужен ли еще этот дополнительно?)

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 81.0.4196.61 v.81.0.4196.61 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

 

5 минут назад, Revilandeo сказал:

смотрим, как себя чувствует Защитник

Точнее - исчезнут ли те записи.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, в таком случае обновлю проги, затем подождём пару дней. Отпишу если что. Спасибо Вам за всё, после всего этого - Сам Бог велел завязывать с датамайнингом

Ссылка на сообщение
Поделиться на другие сайты

Как я говорил выше, остались только "пустые" записи, в системе нет ничего вредоносного.

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Попробуем ещё так:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    startpowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -Mapsreporting basic -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    Get-MpComputerStatus
    Get-MpPreference
    endpowershell:
    SystemRestore: On
    CreateRestorePoint:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Ещё один скрипт, пожалуйста:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\aulcORpfkODCOrosEER
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\hzZdhwniUlKU2
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\OTrodvLHKvgrC
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\WDRwIKtbU
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • аноним99
      От аноним99
      По указанию консультанта создаю вторую тему и прилагаю данные со второго ПК (ПК А в первой теме)
      Прилагаю логи AutoLogger и данные Farbar Recovery Scan Tool
      CollectionLog-2024.03.08-15.09.zip Addition.txt FRST.txt
    • TYRBOGARLIK
      От TYRBOGARLIK
      Как удалить с 11 винды, касперский, др веб, malware не обнаружили 
    • wixard
      От wixard
      Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.
      В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.
      Анивируса стороннего у меня не стояло. 
      Подскажите пожалуйста как или чем можно убрать данный троян.
      Перепробовал все, что сам знал, теперь обращаюсь к вам, видел старые обращения от людей, где вы советуете утилиту "FRST".
      Скачал ее, мне выдало 2 документа, сейчас прикреплю их, прошу помощи, что с ними делать дальше?
      Addition.txt FRST.txt
    • A7fold
      От A7fold
      Доброго времени суток. В продолжении своей темы о борьбе с wacatac - система чистая, все хорошо, однако у злоумышленника остается доступ к моим данным из хрома(аккаунты соц сетей в частности, при этом доступа к gmail у него нет(по крайней мере безопасность гугла ни разу не срабатывала и не появлялись новые устройства). Если вдруг кто то сталкивался с такой ситуацией и знает как решить проблему - буду очень благодарен.
       
    • Rogiman
      От Rogiman
      Хотел установить трейнер и кликнув по первой ссылке, скачав файл и попытавшись его установить получил букет из вирусов:  
      CollectionLog-2021.12.27-05.23.zip
×
×
  • Создать...