Перейти к содержанию
Правила раздела

Букет из вирусов Trojan:Script/Wacatac.B!ml , Trojan:Win32/Casur.A!.cl и другие

Rogiman

Автор Rogiman
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 61
  • Создана
  • Последний ответ

Топ авторов темы

  • SQ

    31

  • Rogiman

    31

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 

O4 - HKCU\..\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (file missing)

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

SQ

SQ

Опубликовано
Опубликовано


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

SQ

SQ

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
SQ

SQ

Опубликовано
Опубликовано

Удалите остатки от антивируса Avast утилитой Avast Remover.

  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
U3 aswbdisk; отсутствует ImagePath
Folder: C:\WINDOWS\system32\a503
Folder: 2021-12-26 00:11 - 2021-12-26 00:26 - 000000000 ____D C:\ProgramData\ARKcHShhDFWQZAVB
C:\ProgramData\ARKcHShhDFWQZAVB
Folder: C:\WINDOWS\SystemTemp
Folder: C:\WINDOWS\SysWOW64\3082
Folder: C:\WINDOWS\SysWOW64\1055
Folder: C:\WINDOWS\SysWOW64\1046
Folder: C:\WINDOWS\SysWOW64\1045
Folder: C:\WINDOWS\SysWOW64\1040
Folder: C:\WINDOWS\SysWOW64\1036
Folder: C:\WINDOWS\SysWOW64\1029
Folder: C:\WINDOWS\system32\3082
Folder: C:\WINDOWS\system32\1055
Folder: C:\WINDOWS\system32\1046
Folder: C:\WINDOWS\system32\1045
Folder: C:\WINDOWS\system32\1040
Folder: C:\WINDOWS\system32\1036
Folder: C:\WINDOWS\system32\1029
2021-11-26 20:34 - 2021-12-27 04:24 - 000000000 ____D C:\Users\User\AppData\Local\Lavasoft
Folder: C:\Program Files\ruxim
FirewallRules: [{E70F8E3D-098E-4795-AEDD-DE3B866EEDD3}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{EDA11422-2616-4876-9E4A-AD325C769F54}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [UDP Query User{3C2FF0EA-CC9B-4469-BD2A-5B6F0842631D}D:\sdi_rus\sdi_x64_r2111.exe] => (Allow) D:\sdi_rus\sdi_x64_r2111.exe => Нет файла
FirewallRules: [TCP Query User{C2BB9182-10E2-45C5-98E1-67097AE1D71F}D:\sdi_rus\sdi_x64_r2111.exe] => (Allow) D:\sdi_rus\sdi_x64_r2111.exe => Нет файла
FirewallRules: [TCP Query User{2A344611-DB8F-4B8C-80D7-88F44CAACE25}C:\windows\files\bin\kmss.exe] => (Block) C:\windows\files\bin\kmss.exe => Нет файла
FirewallRules: [UDP Query User{75BF0810-FA5E-4E4D-9238-2AB0916A5956}C:\windows\files\bin\kmss.exe] => (Block) C:\windows\files\bin\kmss.exe => Нет файла
FirewallRules: [{B08ABB78-46E7-49A6-9499-B61A3DE81879}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䥡䕑⸸硥e => Нет файла
FirewallRules: [{D2D50A47-C4EF-4BF8-8945-1DFD3A589E9E}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{8D2836F0-B1D2-4AC8-99E1-736295FF23F5}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{060712B5-CB2D-4D90-9B63-ACC356425270}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣灹琵攮數 => Нет файла
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Rogiman

Rogiman

Опубликовано
  • Автор
Опубликовано (изменено)

Надеюсь сделал все правильно 

Fixlog.txt

Изменено пользователем Rogiman
SQ

SQ

Опубликовано
Опубликовано

Почистите логи Защитника и сообщите, что с проблемой

  1.  Отключите временно антивирус.
  2. Закройте и сохраните все открытые приложения.
  3. Выделите следующий код:: 
    Start::
CreateRestorePoint:
Closeprocesses:
Comment: clear out old detection history microsoft defender
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
End::

     

  4. Скопируйте выделенный текст (правой кнопкой - Копировать).
  5. Запустите FRST/FRST64 (от имени администратора).
  6. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  7. Обратите внимание, что компьютер будет перезагружен.
SQ

SQ

Опубликовано
Опубликовано
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
SystemRestore: On
CreateRestorePoint:
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths"
startpowershell:
Get-MpComputerStatus
Get-MpPreference
endpowershell:
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
SQ

SQ

Опубликовано
Опубликовано
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
startpowershell:
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)\gOolAyYYjUnU2"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)\ilsRuMFJHpnKkSpfaOR"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)\kdjibwxWU"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)\syBSzNhIHoUn"
(Get-MpPreference).ExclusionPath
endpowershell:
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • аноним99
      [РЕШЕНО] Помощь с удалением Wacatac.B!ml и Phonzy.B!ml (2)
      Автор аноним99
      По указанию консультанта создаю вторую тему и прилагаю данные со второго ПК (ПК А в первой теме)
      Прилагаю логи AutoLogger и данные Farbar Recovery Scan Tool
      CollectionLog-2024.03.08-15.09.zip Addition.txt FRST.txt
    • TYRBOGARLIK
      Нужна помощь с удалением wacatac.b ml
      Автор TYRBOGARLIK
      Как удалить с 11 винды, касперский, др веб, malware не обнаружили 
    • wixard
      В разрешенных угрозах присутствуют такие вирусы как: Trojan:Win32/Wacatac
      Автор wixard
      Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.
      В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.
      Анивируса стороннего у меня не стояло. 
      Подскажите пожалуйста как или чем можно убрать данный троян.
      Перепробовал все, что сам знал, теперь обращаюсь к вам, видел старые обращения от людей, где вы советуете утилиту "FRST".
      Скачал ее, мне выдало 2 документа, сейчас прикреплю их, прошу помощи, что с ними делать дальше?
      Addition.txt FRST.txt
    • A7fold
      Последствия вируса Wacatac.B!ml
      Автор A7fold
      Доброго времени суток. В продолжении своей темы о борьбе с wacatac - система чистая, все хорошо, однако у злоумышленника остается доступ к моим данным из хрома(аккаунты соц сетей в частности, при этом доступа к gmail у него нет(по крайней мере безопасность гугла ни разу не срабатывала и не появлялись новые устройства). Если вдруг кто то сталкивался с такой ситуацией и знает как решить проблему - буду очень благодарен.
       
    • Revilandeo
      Trojan:Script/Wacatac.B!ml, Trojan:Win32/Casur.A!cl и его друзья
      Автор Revilandeo
      В общем, после попыток вскрытия .pkg файлов, слизанных с PS4, у меня образовалось вот это, стандартный набор, которого ещё вчера не было. Всё, что было установлено за последние дня 3 кануло в небытие, но проблема осталась и у меня нет понятия о том, за что браться.

      HEREISLOOOGS.zip
×
×
  • Создать...