Перейти к содержанию

[РЕШЕНО] Microsoft Defender - Trojan:Win32/Wacatac.B!ml, Adware:Win32/Dealply!mclg


Рекомендуемые сообщения

Здравствуйте! После скачивания не желательного ПО (трейнер для игры) из не проверенного источника в браузере Opera, Microsoft Defender сразу заблокировал файлы, как только они загрузились, появилось сообщение об обнаружении угроз трояна Wacatac.B!ml (критический уровень) и Dealply!mclg (высокий уровень).  Вирусы были помещены в карантин, а через некоторое время появилось сообщение "Сбой карантина - Эта угроза или приложение могут быть исправлены НЕ полностью". С помощью AutoLogger просканировал систему и подготовил логи. Рассчитываю на вашу помощь в удаление вирусов.

Trojan.png

Trojan 2.png

CollectionLog-2022.11.07-19.34.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

У вас установлен Malwarebytes. Сделайте полную проверку, результат сохраните в текстовый файл и прикрепите его к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    cmd: ECHO Y|CHKDSK C: /F
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    startpowershell:
    # 4-14-2022 M. Naggar
    # Funtion Remove-all-windefend-excludes to Remove all exclusions on MS Windefend
    Function Remove-all-windefend-excludes {
    $Paths=(Get-MpPreference).ExclusionPath
    $Extensions=(Get-MpPreference).ExclusionExtension
    $Processes=(Get-MpPreference).ExclusionProcess
    foreach ($Path in $Paths) { Remove-MpPreference -ExclusionPath $Path -force}
    foreach ($Extension in $Extensions) { Remove-MpPreference -ExclusionExtension $Extension -force}
    foreach ($Process in $Processes) { Remove-MpPreference -ExclusionProcess $Process -force}
    }
    # Remove all exclusions on MS Windefend
        Write-Output "Removing all exclusions on MS Windefend antivirus"
        Set-MpPreference -DisableAutoExclusions $true -Force
        Remove-all-windefend-excludes
    EndPowerShell:
    
    startpowershell:
    # 10-26-2022 M. Naggar
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
    Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
    Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
    Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
    Set-Service -Name windefend -StartupType Automatic -force
    Get-Service windefend | Select-Object -Property Name, StartType, Status
    Set-Service -Name securityhealthservice -StartupType manual -force
    Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
        Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
        Set-MpPreference -DisableArchiveScanning $false -Force
        Set-MpPreference -DisableBehaviorMonitoring $false -Force
        Set-MpPreference -DisableEmailScanning $False -Force
        Set-MpPreference -DisableIOAVProtection $false -Force
        Set-MpPreference -DisablePrivacyMode $true -Force
        Set-MpPreference -DisableRealtimeMonitoring $false -Force
        Set-MpPreference -MAPSReporting Advanced -Force
        Set-MpPreference -PUAProtection enabled -Force
        Set-MpPreference -SignatureScheduleDay Everyday -Force
        Set-MpPreference -DisableRemovableDriveScanning $false -Force
        Set-MpPreference -SubmitSamplesConsent SendSafeSamples
    # Reset and check Secure Health status
        Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
        Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
    # Check if these services are running
    Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
    EndPowerShell:
    
    startpowershell:
        Write-Output "updating"
        Update-MpSignature
        Write-Output "scanning"
        Start-MpScan -ScanType QuickScan
        Remove-MpThreat
        Start-MpScan -ScanType customScan -ScanPath "%userprofile%\AppData\Local"
        Remove-MpThreat
        Start-MpScan -ScanType customScan -ScanPath "%userprofile\AppData\Roaming"
        Remove-MpThreat
    EndPowerShell:
    
    startpowershell:
    # Check computer status again after setting to make sure changes were applied
        Get-MpComputerStatus
        Get-MpPreference
        Get-MpThreatDetection
    # get statuses of services
    Get-Service BITS | Select-Object -Property Name, StartType, Status
    Get-Service Dhcp | Select-Object -Property Name, StartType, Status
    Get-Service EventLog | Select-Object -Property Name, StartType, Status
    Get-Service EventSystem | Select-Object -Property Name, StartType, Status
    Get-Service mbamservice | Select-Object -Property Name, StartType, Status
    Get-Service mpsdrv | Select-Object -Property Name, StartType, Status
    Get-Service MpsSvc | Select-Object -Property Name, StartType, Status
    Get-Service msiserver | Select-Object -Property Name, StartType, Status
    Get-Service nsi | Select-Object -Property Name, StartType, Status
    Get-Service RasMan | Select-Object -Property Name, StartType, Status
    Get-Service rpcss | Select-Object -Property Name, StartType, Status
    Get-Service SDRSVC | Select-Object -Property Name, StartType, Status
    Get-Service sense | Select-Object -Property Name, StartType, Status
    Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
    Get-Service SstpSvc | Select-Object -Property Name, StartType, Status
    Get-Service TrustedInstaller | Select-Object -Property Name, StartType, Status
    Get-Service UsoSvc | Select-Object -Property Name, StartType, Status
    Get-Service VSS | Select-Object -Property Name, StartType, Status
    Get-Service wdnissvc | Select-Object -Property Name, StartType, Status
    Get-Service windefend | Select-Object -Property Name, StartType, Status
    Get-Service Winmgmt | Select-Object -Property Name, StartType, Status
    Get-Service wscsvc | Select-Object -Property Name, StartType, Status
    Get-Service wuauserv | Select-Object -Property Name, StartType, Status
    New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol tcp -Action Block
    New-NetFirewallRule -DisplayName "Block Inb" -Direction Inbound –LocalPort 135-139, 445, 1234, 3389, 5555 -Protocol udp -Action Block
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Скрипт может выполняться длительное время, дождитесь завершения.


Компьютер будет перезагружен автоматически. Во время перезагрузки будет запущена проверка диска на ошибки, не прерывайте.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Malwarebytes удалил. Открыл защитник. В Защитнике троян остался. Пишет сбой  карантина, исправление не завершено.

After Fix.png

Ссылка на сообщение
Поделиться на другие сайты

Скачайте архив, распакуйте и запустите. Подтвердите внесение изменений в реестр и перезагрузите компьютер. Если возникнет ошибка, проделайте это же в безопасном режиме.

Результат сообщите

Ссылка на сообщение
Поделиться на другие сайты

Была ошибка, загрузился в безопасном режиме. После этого изменение в реестр были внесены успешно. Перезагрузил компьютер в обычный режим. Зашел в защитник. В Защитнике отображается тоже самое, вирусы остались.

Ссылка на сообщение
Поделиться на другие сайты

Уточню, это не вирусы, а только записи в отчёте Защитника.

Выполните такой скрипт:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    startpowershell:
    Set-MpPreference -DisableAutoExclusions $true -Force
    Set-MpPreference -Mapsreporting basic -Force
    Set-MpPreference -DisableRealtimeMonitoring $false -Force
    Set-MpPreference -DisablePrivacyMode $true -Force
    Set-MpPreference -DisableIOAVProtection $false -Force
    Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
    Set-MpPreference -PUAProtection enabled -Force
    Update-MpSignature
    Get-MpComputerStatus
    Get-MpPreference
    endpowershell:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Отлично!

Если проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Рад, что всё получилось.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Microsoft Teams v.1.5.00.17656 Внимание! Скачать обновления
Telegram Desktop version 4.2.4 v.4.2.4 Внимание! Скачать обновления
Viber 16.4.5.3 v.16.4.5.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 17.2.0 v.17.2.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.86.9258 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ivan5
      От Ivan5
      Добрый день!
      одним снежным ноябрьским днем обнаружили, что все файлы в общей папке успешно зашифрованы. файлы не архиважные, но неприятно)
      что этому предшествовало особо неясно
      вот такая картинка показывается (id замазал на всякий случай)
       

      CollectionLog-2022.11.18-16.37.zip
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Помощь в удалении вирусов".
    • XanderUnder
      От XanderUnder
      Здравствуйте, скачал файл, при установке обнаружил троян script/wacatac.h!ml, при сканировании через Win Defender обнаруживается этот троян, Статус: восстановление не завершено. При открытии диспетчера задач нагрузка цп резко пада ет с приблизительно 90-100% до 2-10%, похоже на майнер. При сканировании с помощью Kaspersky VRT угроза не обнаруживается

      CollectionLog-2022.11.19-16.00.zip
    • Ильмир
      От Ильмир
      установил kms office, после этого, что бы очистить систему решил установить Касперский, но получается установленный вирус блокирует его. как теперь удалить этот вирус?
    • dverutin
      От dverutin
      Добрый день!
      Сегодня мой Kaspersky Free 21.3.10.391(j) обнаружил нечто под названием Trojan.Multi.GenAutorunProc.a в системной памяти и предложил лечить. Я выбрал лечение с перезагрузкой компьютера, однако по его завершению Касперский снова обнаружил ту же самую программу. Проблема появилась после обновления браузеров Chrome и Firefox и перехода на сайт https://ccsb.scripps.edu/mgltools/, который почему-то крайне плохо прогружался. Как мне удалить троян?
      CollectionLog-2022.11.17-17.48.zip
    • anariel_m
      От anariel_m
      Начала очень быстро заполняться память диска С на ноутбуке, которой и так было немного, но в общем сейчас она вылетает в ноль с 2-3гб за минут 5-10. Скан malware и Microsoft security сначала ничего не дал вообще, потом Касперский нашел два трояна (Trojan.Multi.GenAutorunTask.c и HEUR:Trojan.Multi.GenBadur.gena), первый из них в системной памяти. Тот, который в памяти, он мог только лечить (считает, что вылечил), второй удалил. Повторное сканирование нашло ещё два вируса на диске D, их не было в первый раз, их вроде удалил. Под конец microsoft security тоже увидел какой-то троян, тоже удалил. Третье сканирование Касперским не нашло ничего, но память всё ещё забивается до нуля за 5 минут. 

      Буду очень благодарна за помощь.
      CollectionLog-2022.10.19-20.01.zip
×
×
  • Создать...