[РЕШЕНО] Microsoft Defender - Trojan:Win32/Wacatac.B!ml, Adware:Win32/Dealply!mclg

[alextototo12]

Здравствуйте! После скачивания не желательного ПО (трейнер для игры) из не проверенного источника в браузере Opera, Microsoft Defender сразу заблокировал файлы, как только они загрузились, появилось сообщение об обнаружении угроз трояна Wacatac.B!ml (критический уровень) и Dealply!mclg (высокий уровень).  Вирусы были помещены в карантин, а через некоторое время появилось сообщение "Сбой карантина - Эта угроза или приложение могут быть исправлены НЕ полностью". С помощью AutoLogger просканировал систему и подготовил логи. Рассчитываю на вашу помощь в удаление вирусов.

CollectionLog-2022.11.07-19.34.zip

[Sandor]

Здравствуйте!

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

У вас установлен Malwarebytes. Сделайте полную проверку, результат сохраните в текстовый файл и прикрепите его к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[alextototo12]

Готово. Всё сделал.

Malwarebytes.txt ClearLNK-2022.11.09_08.42.03.log FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  cmd: ECHO Y|CHKDSK C: /F
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  startpowershell:
  # 4-14-2022 M. Naggar
  # Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
  Function Remove-all-windefend-excludes {
  $Paths=(Get-MpPreference).ExclusionPath
  $Extensions=(Get-MpPreference).ExclusionExtension
  $Processes=(Get-MpPreference).ExclusionProcess
  foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
  foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
  foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
  }
  # Remove all exclusions on MS Windefend
      Write-Output "Removing all exclusions on MS Windefend antivirus"
      Set-MpPreference -DisableAutoExclusions $true -Force
      Remove-all-windefend-excludes
  EndPowerShell:
  
  startpowershell:
  # 10-26-2022 M. Naggar
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
  Set-Service -Name windefend -StartupType Automatic -force
  Get-Service windefend | Select-Object -Property Name, StartType, Status
  Set-Service -Name securityhealthservice -StartupType manual -force
  Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
      Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
      Set-MpPreference -DisableArchiveScanning $false -Force
      Set-MpPreference -DisableBehaviorMonitoring $false -Force
      Set-MpPreference -DisableEmailScanning $False -Force
      Set-MpPreference -DisableIOAVProtection $false -Force
      Set-MpPreference -DisablePrivacyMode $true -Force
      Set-MpPreference -DisableRealtimeMonitoring $false -Force
      Set-MpPreference -MAPSReporting Advanced -Force
      Set-MpPreference -PUAProtection enabled -Force
      Set-MpPreference -SignatureScheduleDay Everyday -Force
      Set-MpPreference -DisableRemovableDriveScanning $false -Force
      Set-MpPreference -SubmitSamplesConsent SendSafeSamples
  # Reset and check Secure Health status
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
  # Check if these services are running
  Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
  EndPowerShell:
  
  startpowershell:
      Write-Output "updating"
      Update-MpSignature
      Write-Output "scanning"
      Start-MpScan -ScanType QuickScan
      Remove-MpThreat
      Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
      Remove-MpThreat
      Start-MpScan -ScanType customScan -ScanPath "%userprofile\AppData\Roaming"
      Remove-MpThreat
  EndPowerShell:
  
  startpowershell:
  # Check computer status again after setting to make sure changes were applied
      Get-MpComputerStatus
      Get-MpPreference
      Get-MpThreatDetection
  # get statuses of services
  Get-Service BITS | Select-Object -Property Name, StartType, Status
  Get-Service Dhcp | Select-Object -Property Name, StartType, Status
  Get-Service EventLog | Select-Object -Property Name, StartType, Status
  Get-Service EventSystem | Select-Object -Property Name, StartType, Status
  Get-Service mbamservice | Select-Object -Property Name, StartType, Status
  Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
  Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
  Get-Service msiserver | Select-Object -Property Name, StartType, Status
  Get-Service nsi | Select-Object -Property Name, StartType, Status
  Get-Service RasMan | Select-Object -Property Name, StartType, Status
  Get-Service rpcss | Select-Object -Property Name, StartType, Status
  Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
  Get-Service sense | Select-Object -Property Name, StartType, Status
  Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
  Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
  Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
  Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
  Get-Service VSS | Select-Object -Property Name, StartType, Status
  Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
  Get-Service windefend | Select-Object -Property Name, StartType, Status
  Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
  Get-Service wscsvc | Select-Object -Property Name, StartType, Status
  Get-Service wuauserv | Select-Object -Property Name, StartType, Status
  New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
  New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Скрипт может выполняться длительное время, дождитесь завершения.

Компьютер будет перезагружен автоматически. Во время перезагрузки будет запущена проверка диска на ошибки, не прерывайте.

Подробнее читайте в этом руководстве.

[alextototo12]

Готово. 

Fixlog.txt

[Sandor]

Что сейчас с Защитником?

[alextototo12]

Malwarebytes удалил. Открыл защитник. В Защитнике троян остался. Пишет сбой  карантина, исправление не завершено.

[Sandor]

Скачайте архив, распакуйте и запустите. Подтвердите внесение изменений в реестр и перезагрузите компьютер. Если возникнет ошибка, проделайте это же в безопасном режиме.

Результат сообщите

[alextototo12]

Была ошибка, загрузился в безопасном режиме. После этого изменение в реестр были внесены успешно. Перезагрузил компьютер в обычный режим. Зашел в защитник. В Защитнике отображается тоже самое, вирусы остались.

[Sandor]

Уточню, это не вирусы, а только записи в отчёте Защитника.

Выполните такой скрипт:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  startpowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  endpowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[alextototo12]

После исправления в Защитнике чисто, записей о вирусах нет. 

Fixlog.txt

[Sandor]

Отлично!

Если проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[alextototo12]

Готово.

SecurityCheck.txt

 

Спасибо вам огромное за помощь в решение проблемы, без вас я бы не справился. 

[Sandor]

Рад, что всё получилось.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Microsoft Teams v.1.5.00.17656 Внимание! Скачать обновления
Telegram Desktop version 4.2.4 v.4.2.4 Внимание! Скачать обновления
Viber 16.4.5.3 v.16.4.5.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 17.2.0 v.17.2.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.86.9258 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".