Перейти к содержанию

[РЕШЕНО] Trojan:script/wacatac.b!ml в списке разрешенных угроз


MacMchale

Рекомендуемые сообщения

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteSchedulerTask('7856757');
 DeleteSchedulerTask('GhosteryLogonUpdate');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '64');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('c:\programdata\robotdemo', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('c:\programdata\robotdemo');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
    OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
    C:\Users\Constanta\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
    YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Constanta\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    2022-01-26 18:59 - 2021-12-02 21:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\V_K-D_J
    2022-01-26 18:56 - 2021-12-12 21:08 - 000000000 ____D C:\ProgramData\RobotDemo
    2022-01-26 18:56 - 2021-12-12 21:08 - 000000000 ____D C:\Program Files (x86)\Transmission
    cricket own 1.5.2.1 (HKLM-x32\...\{1abb8991-137c-4f00-b1b9-861f5febf4f8}) (Version: 1.5.2.1 - Dare and Sons and Sons) Hidden
    disease believe 1.4.1.34 (HKLM-x32\...\{6e09c808-7092-4a52-ac44-4ce6face09be}) (Version: 1.4.1.34 - Considine, Farrell and Sanford PLC) Hidden
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, завершаем:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Еще один скрипт, пожалуйста, выполните:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    Ghostery – Privacy Ad Blocker 1.0.0.0 (HKLM-x32\...\{8cd69eaf-94f8-4a3f-9a81-ec2d1da759fc}) (Version: 1.0.0.0 - Ghostery) Hidden
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

В перечне установленных программ появятся скрытые ранее:

Цитата

 

Ghostery – Privacy Ad Blocker 1.0.0.0

cricket own 1.5.2.1

disease believe 1.4.1.34

 

Удалите. Не даст удалить стандартно, удалите принудительно через Geek Uninstaller

Ссылка на комментарий
Поделиться на другие сайты

12 часов назад, Sandor сказал:

Удалите

Удалили перечисленные программы?

 

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Opera Stable 82.0.4227.58 v.82.0.4227.58 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Сергей3113
      От Сергей3113
      В списке разрешенных угроз лежит 3 трояна, достать которые оттуда не выходит — постоянно возвращаются, хотя сканером их поидее удаляло.
      Так-же пробовал много утилит для удаления вирусов и сканирования ПК но тут тоже не задача, при открытии утилиты допустим (доктор веб) зависает окно а после выдает ошибку "windows не удается получить доступ к указанному устройству пути или файлу возможно у вас нет нужных разрешений для допуста к этому объекту" пробовал решить и эту проблему все без результата. Заходил в безопасный режим но там этих ошибок попросту нет, утилиты запускаются а троянов нет в разрешенных угрозах. Помогите решить эту проблему уже не знаю куда обращаться.
       


    • Elly
      От Elly
      Друзья!
       
      Все мы знаем, что Евгений Касперский очень любит путешествовать. Его форумные рассказы о тех или иных местах зачастую читаются на одном дыхании.
      Вот что пишет сам Евгений Касперский об этом:
       
      Мы подготовили для вас викторину из 15 вопросов по ТОП-100 мест от Евгения Касперского, опубликованных на сайте https://eugene.kaspersky.ru с хештегом #Top100.
       
      ПРАВИЛА
      – викторина состоит из 15 вопросов, опубликованных ЗДЕСЬ;
      – каждый вопрос относится к информации, опубликованной на сайте https://eugene.kaspersky.ru с хештегом #Top100;
      – заполнить и отправить форму можно несколько раз, но засчитан будет только первый отправленный ответ.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1000 баллов Одна ошибка — 800 баллов Две ошибки — 500 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 20:00 26 ноября 2024 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @oit (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов или существенных подозрений со стороны Администрации клуба его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами.
      Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
      Удачи!
    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
×
×
  • Создать...