[РЕШЕНО] "Trojan:script/wacatac.b!ml" и другие в списке "Разрешенные угрозы"

[R31D3N]

Добрый день!

Наблюдаю следующую картину в списке "Разрешенных угроз"

Все что мог, почистил через Malwarebytes

При попытке нажать "Не разрешать" снова появляются эти файлы

 

 

 

Изменено 12 ноября, 2021 пользователем R31D3N

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Логи прикрепите к своему следующему сообщению в этой теме.

[R31D3N]

14 минут назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Логи прикрепите к своему следующему сообщению в этой теме.

 

CollectionLog-2021.11.12-16.37.zip

[R31D3N]

Всё ещё жду помощи

[Sandor]

Пожалуйста, дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[R31D3N]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1516630328-744549765-2156245100-1001\...\MountPoints2: {62f905b4-2840-11ec-ae0f-001a4d4b629f} - "F:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-1516630328-744549765-2156245100-1001\...\MountPoints2: {771f2b1d-ec4c-11eb-adc8-001a4d4b629f} - "G:\setup.exe" 
  HKU\S-1-5-21-1516630328-744549765-2156245100-1001\...\MountPoints2: {a76ad830-29d7-11ec-ae12-001a4d4b629f} - "F:\HiSuiteDownLoader.exe" 
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {29FF3C5B-F9CB-4581-AEA3-329953D19462} - System32\Tasks\cFos\Registration Tasks\Open Browser => c:\users\razor\appdata\local\programs\opera\launcher.exe "http://localhost:1487/cfosspeed/console.htm" (Нет файла)
  Task: {E705AE6D-A35F-49D1-B61C-D32D7B5FA19D} - System32\Tasks\TotalAdblockLogonUpdate => C:\Users\razor\AppData\Local\Programs\TotalAdblock\Updater.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /NOICONS /NOCANCEL /CHROME=1 (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  2021-11-12 13:11 - 2021-11-12 13:19 - 000000000 ____D C:\Users\razor\AppData\Roaming\toc
  2021-11-12 13:11 - 2021-11-12 13:11 - 000003546 _____ C:\WINDOWS\system32\Tasks\TotalAdblockLogonUpdate
  2021-11-12 13:11 - 2021-11-12 13:11 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\V_K-D_J
  2021-11-12 13:09 - 2021-11-12 13:10 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\cmHunter
  Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{a6f62075-84db-4724-a9a0-8020f242433a}) (Version: 1.0.0.0 - TotalAdblock) Hidden
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
  FirewallRules: [{319FD1AA-DD50-456A-91DF-930C6585F788}] => (Allow) C:\Users\razor\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{FC5DBD36-CE31-462A-92AA-3E005C9AAF28}] => (Allow) C:\Users\razor\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{B680BD49-6C3A-4EDA-98B2-B28A7C37AA34}] => (Allow) LPort=57209
  FirewallRules: [{B7D83054-99BF-474A-88CC-04CF430BE65F}] => (Allow) LPort=57209
  FirewallRules: [{CE990F70-261C-4F2A-A059-72F81614BCE7}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯扜䱮ㅂ攮數 => Нет файла
  FirewallRules: [{0A1FAF9D-35EA-405D-9957-E68B47A3A6C2}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{064AE3A4-45BD-43EB-B388-B6E04A1E47E6}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{19B75EDE-EEB1-418D-8F66-9ED28C459CA2}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯㉜煭⸱硥e => Нет файла
  FirewallRules: [{521BDF85-B1A5-4C06-91DB-FB454F606CE1}] => (Allow) C:\Users\razor\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
  FirewallRules: [{CF4E476B-2B2F-4BA0-84D8-4D830BA27CE0}] => (Allow) C:\Users\razor\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
  FirewallRules: [{5865A937-F1E1-4246-8C7B-42B562FD7450}] => (Allow) C:\Users\razor\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{4BF6E6E3-9423-4D84-A746-9C39A7E9F967}] => (Allow) C:\Users\razor\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Цитата

Total Adblock - Free AdBlocker 1.0.0.0

Удалите. Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Также удалите нежелательное ПО

Цитата

MediaGet

 

[R31D3N]

1 час назад, Sandor сказал:

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1516630328-744549765-2156245100-1001\...\MountPoints2: {62f905b4-2840-11ec-ae0f-001a4d4b629f} - "F:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-1516630328-744549765-2156245100-1001\...\MountPoints2: {771f2b1d-ec4c-11eb-adc8-001a4d4b629f} - "G:\setup.exe" 
  HKU\S-1-5-21-1516630328-744549765-2156245100-1001\...\MountPoints2: {a76ad830-29d7-11ec-ae12-001a4d4b629f} - "F:\HiSuiteDownLoader.exe" 
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {29FF3C5B-F9CB-4581-AEA3-329953D19462} - System32\Tasks\cFos\Registration Tasks\Open Browser => c:\users\razor\appdata\local\programs\opera\launcher.exe "http://localhost:1487/cfosspeed/console.htm" (Нет файла)
  Task: {E705AE6D-A35F-49D1-B61C-D32D7B5FA19D} - System32\Tasks\TotalAdblockLogonUpdate => C:\Users\razor\AppData\Local\Programs\TotalAdblock\Updater.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /NOICONS /NOCANCEL /CHROME=1 (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  2021-11-12 13:11 - 2021-11-12 13:19 - 000000000 ____D C:\Users\razor\AppData\Roaming\toc
  2021-11-12 13:11 - 2021-11-12 13:11 - 000003546 _____ C:\WINDOWS\system32\Tasks\TotalAdblockLogonUpdate
  2021-11-12 13:11 - 2021-11-12 13:11 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\V_K-D_J
  2021-11-12 13:09 - 2021-11-12 13:10 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\cmHunter
  Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{a6f62075-84db-4724-a9a0-8020f242433a}) (Version: 1.0.0.0 - TotalAdblock) Hidden
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
  FirewallRules: [{319FD1AA-DD50-456A-91DF-930C6585F788}] => (Allow) C:\Users\razor\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{FC5DBD36-CE31-462A-92AA-3E005C9AAF28}] => (Allow) C:\Users\razor\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{B680BD49-6C3A-4EDA-98B2-B28A7C37AA34}] => (Allow) LPort=57209
  FirewallRules: [{B7D83054-99BF-474A-88CC-04CF430BE65F}] => (Allow) LPort=57209
  FirewallRules: [{CE990F70-261C-4F2A-A059-72F81614BCE7}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯扜䱮ㅂ攮數 => Нет файла
  FirewallRules: [{0A1FAF9D-35EA-405D-9957-E68B47A3A6C2}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{064AE3A4-45BD-43EB-B388-B6E04A1E47E6}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{19B75EDE-EEB1-418D-8F66-9ED28C459CA2}] => (Allow) 㩃啜敳獲牜穡牯䅜灰慄慴剜慯業杮瑜捯㉜煭⸱硥e => Нет файла
  FirewallRules: [{521BDF85-B1A5-4C06-91DB-FB454F606CE1}] => (Allow) C:\Users\razor\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
  FirewallRules: [{CF4E476B-2B2F-4BA0-84D8-4D830BA27CE0}] => (Allow) C:\Users\razor\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
  FirewallRules: [{5865A937-F1E1-4246-8C7B-42B562FD7450}] => (Allow) C:\Users\razor\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{4BF6E6E3-9423-4D84-A746-9C39A7E9F967}] => (Allow) C:\Users\razor\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится скрытая ранее

Удалите. Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

Также удалите нежелательное ПО

 

Хорошо. Попробую, напишу

Mediaget удалять не буду, т.к с ним никогда проблем не было

Откуда и как яполучил вирус - знаю, медиагет не при чём. В нём всегда асе проверяю.

Угрозы исчезли. Total Adblock удалил через Geek Uninstaller

Fixlog.txt

[Sandor]

1 час назад, R31D3N сказал:

Mediaget удалять не буду, т.к с ним никогда проблем не было

Как хотите. Программа относится к нежелательному ПО и часто является источником проблем.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[R31D3N]

AdwCleaner[S00].txt

[Sandor]

Как видите, AdwCleaner тоже считает Mediaget нежелательной. Так что советую удалить. Если будет очень нужно, по окончании лечения установите заново.

 

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

[R31D3N]

Так уж и быть, удалил
Ну с торрентами ясно, что любой антивирус и подобный софт будет ругаться

AdwCleaner[C01].txt

После перезагрузки сделал повторное сканирование

Изменено 14 ноября, 2021 пользователем R31D3N
!

[Sandor]

Речь не о торрентах вообще, а конкретно об этом клиенте.

 

Завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[R31D3N]

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.1.1 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
SoftEther VPN Client v.4.25.9656 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u301-windows-x64.exe)^
 

 

Читайте Рекомендации после удаления вредоносного ПО