Trojan:win32/phonzy Wacatac B!ml

@Saf3ks · Регистрация: 12.05.2022

Студворк — интернет-сервис помощи студентам

Здравствуйте, решил скачать microsoft office с ютуба и подцепил вот это, помогите пожалуйста

@Sandor · 13.05.2022, 08:37

Здравствуйте!

Сообщение от Saf3ks

и подцепил вот это

Уточните, пожалуйста - это, как понимаю, сработал Защитник. Такое срабатывание повторяется или это было однократно?

На всякий случай сделайте дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@Saf3ks · 13.05.2022, 12:52 **[ТС]**

Сработал защитник, высветилось много всяких троянов, перезагрузил компьютер, стал высвечиваться только один троян и еще какой-то PUA

@Saf3ks · 13.05.2022, 13:05 **[ТС]**

...

@Sandor · 13.05.2022, 13:20

Сделаем небольшую очистку.

Внимание! Рекомендации написаны специально для пользователя Saf3ks. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1189134787-2056096328-1149260543-1001\...\Run: [mls] => C:\Users\rusla\AppData\Roaming\RAC\mls.exe [1626112 2022-05-12] () [Файл не подписан]
HKU\S-1-5-21-1189134787-2056096328-1149260543-1001\...\Run: [svcsc.exe] => C:\Users\rusla\AppData\Roaming\RAC\svcsc.exe [0 2022-05-12] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
File: C:\Users\rusla\AppData\Roaming\RAC\mls.exe
C:\Users\rusla\AppData\Roaming\RAC\mls.exe
Folder: C:\Program Files\MS Office 2010
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7394]
StartBatch:
  ECHO Y|CHKDSK C: /F
  pushd c:\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes
  net stop bits
  net stop cryptSvc
  net stop wuauserv
  net stop msiserver
  del /s /q C:\Windows\SoftwareDistribution\download\*.*
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  netsh winsock reset catalog
  netsh int ipv4 reset reset.log
  netsh int ipv6 reset reset.log
  ipconfig /release
  ipconfig /renew
  ipconfig /flushdns
  ipconfig /registerdns
  net start bfe
  net start bits
  net start cryptSvc
  net start eventsystem
  net start msiserver
  net start rpcss
  net start sdrsvc
  net start trustedinstaller
  net start vss
  net start winmgmt
  net start wuauserv
  netsh winhttp reset proxy
  bitsadmin /list /allusers
  bitsadmin /reset /allusers
  netsh advfirewall reset
  netsh advfirewall set allprofiles state ON
EndBatch:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Во время перезагрузки будет выполнена проверка и исправление возможных ошибок диска. Не прерывайте.

@Saf3ks · 13.05.2022, 13:28 **[ТС]**

...

@Sandor · 13.05.2022, 13:33

Сделайте полную проверку Защитником и сообщите результат.

@Saf3ks · 13.05.2022, 13:46 **[ТС]**

пишет что угроз не найдено

@Sandor · 13.05.2022, 13:53

И это хорошо

Сделайте для верности дополнительно:
Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

@Saf3ks · 13.05.2022, 14:23 **[ТС]**

...

@Sandor · 13.05.2022, 15:01

После нажатия кнопки ОК даёт дальше работать?

@Saf3ks · 13.05.2022, 15:03 **[ТС]**

нет

@Saf3ks · 13.05.2022, 15:04 **[ТС]**

///

@Sandor · 13.05.2022, 15:07

ОК, судя по отчёту, всё-таки получилось просканировать и результат нулевой, т.е. хороший.

Пока завершаем (тема не закрывается и если повторится, продолжим):

1. Malwarebytes деинсталлируйте.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Saf3ks · 13.05.2022, 15:14 **[ТС]**

file:///C:/SecurityCheck/SecurityCheck.html

Добавлено через 1 минуту
я файл frst.exe просто удалил, ничего страшного?

@Sandor · 13.05.2022, 15:15

Текстового файла нет?

Сообщение от Sandor

C:\SecurityCheck\SecurityCheck.txt

Добавлено через 37 секунд

Сообщение от Saf3ks

я файл frst.exe просто удалил, ничего страшного?

Нет, ничего страшного. Удалите вручную папку C:\FRST

@Saf3ks · 13.05.2022, 15:15 **[ТС]**

...

@Sandor · 13.05.2022, 15:19

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office 2010 shareware v.shareware Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46246 Внимание! Клиент сети P2P с рекламным модулем!.

На заметку - Рекомендации после удаления вредоносного ПО

Тема не закрывается. Если повторится подобное, сообщите.

@Saf3ks · 13.05.2022, 15:21 **[ТС]**

как удалить этот microsoft office 2010 shareware? после его установки и появились эти трояны

@Sandor · 13.05.2022, 15:24

Да, я так и понял.

А разве его нет в перечне установленных программ? Пуск - Параметры - Приложения

Новые блоги и статьи Все статьи Все блоги /
wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .	Функция заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .
К слову об оптимизации kumehtar 01.04.2026 Вспоминаю начало 2000-х, университет, когда я писал на Delphi. Тогда среди программистов на форумах активно обсуждали аккуратную работу с памятью: нужно было следить за переменными, вовремя. . .	Идея фильтра интернета (сервер = слой+фильтр). Hrethgir 31.03.2026 Суть идеи заключается в том, чтобы запустить свой сервер, о чём я если честно мечтал давно и давно приобрёл книгу как это сделать. Но не было причин его запускать. Очумелые учёные напечатали на. . .	Модель здравосоХранения 6. ESG-повестка и устойчивое развитие; углублённый анализ кадрового бренда anaschu 31.03.2026 В прикрепленном документе раздумья о том, как можно поменять модель в будущем	10 пpимет, которые всегда сбываются Maks 31.03.2026 1. Чтобы, наконец, пришла маршрутка, надо закурить. Если сигарета последняя, маршрутка придет еще до второй затяжки даже вопреки расписанию. 2. Нaдоели зима и снег? Не надо переезжать. Достаточно. . .

@Saf3ks 0 / 0 / 0 Регистрация: 12.05.2022 Сообщений: 19
	13.05.2022, 12:52 [ТС]
	Сработал защитник, высветилось много всяких троянов, перезагрузил компьютер, стал высвечиваться только один троян и еще какой-то PUA 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,948
	13.05.2022, 13:33
	Сделайте полную проверку Защитником и сообщите результат. 0

@Saf3ks 0 / 0 / 0 Регистрация: 12.05.2022 Сообщений: 19
	13.05.2022, 13:46 [ТС]
	пишет что угроз не найдено 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,948
	13.05.2022, 13:53
	И это хорошо Сделайте для верности дополнительно: Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. 0

@Saf3ks 0 / 0 / 0 Регистрация: 12.05.2022 Сообщений: 19
	13.05.2022, 14:23 [ТС]
	... Миниатюры 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,948
	13.05.2022, 15:01
	После нажатия кнопки ОК даёт дальше работать? 0

@Saf3ks 0 / 0 / 0 Регистрация: 12.05.2022 Сообщений: 19
	13.05.2022, 15:03 [ТС]
	нет 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,948
	13.05.2022, 15:07
	ОК, судя по отчёту, всё-таки получилось просканировать и результат нулевой, т.е. хороший. Пока завершаем (тема не закрывается и если повторится, продолжим): 1. Malwarebytes деинсталлируйте. 2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 3. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Saf3ks 0 / 0 / 0 Регистрация: 12.05.2022 Сообщений: 19
	13.05.2022, 15:14 [ТС]
	file:///C:/SecurityCheck/SecurityCheck.html Добавлено через 1 минуту я файл frst.exe просто удалил, ничего страшного? 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,948
	13.05.2022, 15:19
	--------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office 2010 shareware v.shareware Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46246 Внимание! Клиент сети P2P с рекламным модулем!. На заметку - Рекомендации после удаления вредоносного ПО Тема не закрывается. Если повторится подобное, сообщите. 0

@Saf3ks 0 / 0 / 0 Регистрация: 12.05.2022 Сообщений: 19
	13.05.2022, 15:21 [ТС]
	как удалить этот microsoft office 2010 shareware? после его установки и появились эти трояны 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,948
	13.05.2022, 15:24
	Да, я так и понял. А разве его нет в перечне установленных программ? Пуск - Параметры - Приложения 0