Перейти к содержанию
Правила раздела

[РЕШЕНО] Троян Wacatac.B!ml

Mishail

Автор Mishail,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Mishail

Mishail 0

Опубликовано
Опубликовано

Здравствуйте, споймал Троян Wacatac.B!ml. В журнале угроз показывает что найдено 2 угрозы, а в полном журнале время от времени появляется этот Троян

222.PNG

223.PNG

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 362

Опубликовано
Опубликовано

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\...\RunOnce: [7876f17d-a44f-4096-9901-d94333996d7b] => "C:\Users\CA81~1\AppData\Local\Temp\{b1ed7d23-1005-4c48-b97c-b7cf69146e82}\7876f17d-a44f-4096-9901-d94333996d7b.cmd" <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\Миша\Application Data:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\Миша\AppData\Roaming:a8f96ed9f548b3497db5ddd233a8b439 [394]
AlternateDataStreams: C:\Users\Миша\AppData\Local\Temp:$DATA [16]
FirewallRules: [{75C598ED-CECE-4694-811F-2FC36008DF3A}] => (Allow) LPort=32682
StartBatch:
  ECHO Y|CHKDSK C: /F
  pushd c:\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes

  net stop bits
  net stop cryptSvc
  net stop wuauserv
  net stop msiserver

  del /s /q C:\Windows\SoftwareDistribution\download\*.*
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"

  netsh winsock reset catalog
  netsh int ipv4 reset reset.log
  netsh int ipv6 reset reset.log
  ipconfig /release
  ipconfig /renew
  ipconfig /flushdns
  ipconfig /registerdns

  net start bfe
  net start bits
  net start cryptSvc
  net start eventsystem
  net start msiserver
  net start rpcss
  net start sdrsvc
  net start trustedinstaller
  net start vss
  net start winmgmt
  net start wuauserv

  netsh winhttp reset proxy
  bitsadmin /list /allusers
  bitsadmin /reset /allusers

  netsh advfirewall reset
  netsh advfirewall set allprofiles state ON

EndBatch:
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Выполнение скрипта может занять продолжительное время, дождитесь окончания.

Во время перезагрузки будет запущено сканирование и исправление возможных ошибок диска. Не прерывайте.

Ссылка на сообщение
Поделиться на другие сайты
Mishail2

Mishail2 0

Опубликовано
Опубликовано

Извиняюсь за нарушение, просто на gmail почту не приходит оповещение о восстановление пароля, пришлось на mail.ru регистрировать. Вот когда вам отсылал файл Fixlog.txt в Журнале показывался до сих пор Троян, но щас зашел посмотреть и вирусы пропали,не пойму

33333.PNG.0dc90d1c5681b057dcda399a4938efdd.PNG

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Перезагрузите компьютер и проверьте ещё раз.

Если записи останутся, при нажатии на слово "Критический" должны появиться дополнительные кнопки. Пробуйте удалить.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Хорошо. Пока наблюдаете, проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Mishail2

Mishail2 0

Опубликовано
Опубликовано

Вот: 

SecurityCheck.txt

 

Опять трояны появились в Полном Журнале.В Действиях у первого и у второго можно только Разрешить, удалить нельзя, а у третьего в Действиях ничего нету 

1.PNG

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 131

Опубликовано
Опубликовано

Пометки "Удалено" и "Помещено в карантин" нас не интересуют :)

На последней нажмите "Показать подробности" и покажите что там.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Asya
      Trojan:Win32/Casdet!rfn и Trojan:Win32/AgentTesla!ml
      От Asya
      Добрый день!

      Несколько дней назад после скачивания из ВК и открытия файла электронной книжки Вин Дефендер начал ругаться на Trojan:Win32/Casdet!rfn. С трудом его всё-таки заблочил. Хотя я даже не знаю, на какой конкретно файл exe он ссылался, не проверила. Полезла тогда на сайт Доктора Вэба за CureIt, но на него он тоже возмутился, уже как на Trojan:Win32/AgentTesla!ml. Я снесла к чёрту всю папку загрузки со всеми файлами, так что теперь даже не проверить, на что конкретно была реакция.
      Сейчас в журнале защиты верхней надписью остаётся "Исправление не завершено", что немного напрягает. При этом все последующие проверки угрозу уже не находят. 
      Проверяла компьютер KVRT, CureIt, ESET, MSERT - у всех чистые результаты. (Только Др Вэб в очередной раз отметил один рекламный файл с Adware.Sweetlabs5, и в очередной раз его снесла). 

      Подскажите, пожалуйста, у Дефендера ложное срабатывание? Или какой-то из вирусов всё же был? Имеет ли смысл убирать записи из Зищитника или, если угрозы нет, можно не волноваться и оставить, как есть? 

      Логи собирала с выключенным инетом (это ничего?). Заранее спасибо за помощь!

        




      CollectionLog-2023.03.22-16.40.zip
    • adant
      Расшифровать файлы с расширением Indianguy
      От adant
      Доброго дня !
      Вирус зашифровал файлы добавив к ним расширение indianguy
      Что делать?
      Addition_20-03-2023 15.58.55.txt FRST_20-03-2023 15.58.55.txt INDIANGUY_DECRYPTION.txt Поздравления.rar
    • Ольга23
      Adtonus.com Как избавиться?
      От Ольга23
      Не знаю как убрать. Зашла в яндекс браузер, и там полезли сайты с 18+ тематикой, до этого никуда не заходила. Скачала касперский, удалил трояны и начали выскакивать уведомления что остановлена загрузка https://adtonus.com/code?id=11. И так каждую минуту. Далее скачала Malwarebytes и adwcleaner, тоже не очистили это. Даже не могу понять что это. Яндекс переустановила и все равно такая же фигня
    • aax
      Trojan:Script/Wacatac.B!ml и Trojan:Win32/AgentTesla!ml
      От aax
      Добрый день, после скачивания зип архива из телеграма, периодически при скачивании программ или других зип архивов Windows Defender обнаруживает эти трояны.
      Trojan:Script/Wacatac.B!ml — при скачивании архивов
      Trojan:Win32/AgentTesla!ml — при скачивании Dr.Web Cureit



    • Dmitriy_Chirkov
      dialersvc32.job и dialersvc64.job не удаляются Cure it
      От Dmitriy_Chirkov
      Добрый день, так же как и у многих тут dialersvc32.job и dialersvc64.job не удаляются Cure it
      Процессор загружен максимально
      Но я так понял у всех разные скрипты
      Спасибо за помощь
      Addition.txt FRST.txt
×
×
  • Создать...