Trojan:Win32/Wacatac.B!ml

8 февраля, 2023

Здравствуйте.

Виндовс дефендер, на ряд программ выдает предупреждение - найден Trojan:Win32/Wacatac.B!ml.

Троян не ищется Касперским, ремовал тулсами от микрософт и не находится самим дефендером при проверке диска.

Предупреждение появляется только при запуске программы.

Лог прилагаю

Спасибо

CollectionLog-2023.02.08-11.07.zip

8 февраля, 2023

Здравствуйте!

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

8 февраля, 2023

Addition.txt FRST.txt

8 февраля, 2023

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью YuKay (ВНИМАНИЕ: Пользователь не является Администратором)

8 февраля, 2023

32 минуты назад, Sandor сказал:

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

Хорошо, переделаю. Ответ, если вы не возражаете, завтра. Сейчас компьютер недоступен.

8 февраля, 2023

Хорошо, ждём.

9 февраля, 2023

17 часов назад, Sandor сказал:

Хорошо, ждём.

Спасибо за ожидание. Выполнил сканирование с учетом вашего замечания.

Addition.txt FRST.txt

9 февраля, 2023

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
Zip: c:\FRST\Quarantine\
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

9 февраля, 2023

8 часов назад, Sandor сказал:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
(TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
Zip: c:\FRST\Quarantine\
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Fixlog.txt

Письмо отправить не удалось.

Пользователь mx.google.com отклонил ваше сообщение на следующие адреса электронной почты:

quarantine@safezone.cc (quarantine@safezone.cc)
Сообщение не доставлено, так как поставщик услуг электронной почты получателя отклонил его.

mx.google.com выдал это сообщение об ошибке:
This message was blocked because its content presents a potential security issue. Please visit https://support.google.com/mail/?p=BlockedMessage to review our message content and attachment content guidelines. r25-20020a2e9959000000b0027fd3c30a17si411469ljj.386 - gsmtp

возможно сообщение стоит заархивировать с паролем?

9 февраля, 2023

1 час назад, rade сказал:

заархивировать с паролем?

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

9 февраля, 2023

13 минут назад, Sandor сказал:

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

Увы защитник ругается.
Файл отправил, пароль в теле письма.

9 февраля, 2023

В каком файле обнаруживает?

9 февраля, 2023

10 минут назад, Sandor сказал:

В каком файле обнаруживает?

C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe

это по нашего программиста из смежной канторы. я уже думаю, может в дефендере какие-то алгоритмы обновились, т.к. по не обновлялось и ранее на него не ругалось.
пробовал запускать с машины на которой ругается этот экзе файл с арандомной машины в сети - находит угрозу.
добавить программу в исключение, параноя не позволяет, вакатак в целом то серьезный вирус.

Изменено 9 февраля, 2023 пользователем rade

9 февраля, 2023

8 минут назад, rade сказал:

это по нашего программиста из смежной канторы

Что же вы сразу об этом не сообщили?

Напишите Microsoft о ложном срабатывании.

9 февраля, 2023

Только что, Sandor сказал:

Что же вы сразу об этом не сообщили?

Напишите Microsoft о ложном срабатывании.

Спасибо. Простите, если зря потратил ваше время.

Trojan:Win32/Wacatac.B!ml

Рекомендуемые сообщения

rade

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rade

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rade

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rade

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rade

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rade

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rade

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

rade

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum