Trojan:Win32/Wacatac.B!ml

[helnmiir]

Здравствуйте! Подцепил троян при  распаковке утилиты из архива. Самостоятельно вывести не получилось. Видел решёный топик — topic/87381 с приложенным скриптом, только т.к. не компетентен в данном вопросе, лучше уточню что именно сделать в моей ситуации. Ниже прикрепляю архивы из CollectionLog и Farbar Recovery Scan Tool. Заранее благодарю за ответ.

CollectionLog-2022.07.04-18.32.zip frst_addition.rar

[Sandor]

Здравствуйте!

 

Кроме того, что Защитник среагировал на некоторые файлы, какие-то ещё внешние признаки заражения наблюдаете?

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Advanced SystemCare

IObit Uninstaller 11

Smart Defrag 6

 

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[helnmiir]

Здравствуйте!

Изначально не мог удалить файл который при заражении появился, затем при перезагрузке/включении ноутбука в долю секунды открывалось и пропадало два окна терминала — так как это происходило очень быстро, то возможности увидеть что там было нет.

Отчёт прикрепляю.

Также у меня в автозагрузке 4 строки с надписью "program" о которых я ничего не знаю. Подскажите, пожалуйста, утилиту или как я могу вручную полностью убрать всё лишние процессы?

Заранее благодарю за ответ.

На данный момент после выполненных действий и перезагрузке терминалы не появлялись.

AdwCleaner[S00].txt

Изменено 5 июля, 2022 пользователем helnmiir

[Sandor]

Чем из предустановленного ПО от Lenovo не пользуетесь, удалите стандартно, через Удаление программ. Тут в AdwCleaner отмечать его галочками не нужно.

Остальное чистим:

 

1. 

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[helnmiir]

Добрый день!

Всё выполнил.

 

AdwCleaner[C01].txt CollectionLog-2022.07.06-17.08.zip frst_addition.rar

[Sandor]

Отчёт AdwCleaner[C00].txt тоже покажите.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {A112C952-56EF-4C25-A106-DA593659C7F4} - System32\Tasks\ASC_SkipUac_helnmiir => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (Нет файла)
  Task: {E91EC239-004B-45B8-AB55-BAF96998AA90} - System32\Tasks\ASC_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe /Task (Нет файла)
  FF user.js: detected! => C:\Users\helnmiir\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2021-05-04]
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\autoconfig.js [2018-11-08] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files\mozilla firefox\cck2.cfg [2018-11-08] <==== ВНИМАНИЕ
  S2 AdvancedSystemCareService15; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
  S3 AscFileControl; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileControl.sys [X]
  S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
  S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
  S3 iobit_monitor_server2021; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
  ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> Нет файла
  ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
  ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[helnmiir]

Выполнил.

Прикрепляю.

Fixlog.txt AdwCleaner[C00].txt

[Sandor]

Что сейчас с проблемой?

[helnmiir]

Здравствуйте. 

Некоторое время не было возможности посетить форум, на данный момент вроде как ничего не находит.

Благодарю Вас за помощь.

[Sandor]

Хорошо, спасибо, что ответили.

 

Завершающие шаги:

 

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.