Trojan:Win32/Wacatac.B!ml

[rade 0]

Здравствуйте.

 

Виндовс дефендер, на ряд программ выдает предупреждение - найден Trojan:Win32/Wacatac.B!ml.

Троян не ищется Касперским, ремовал тулсами от микрософт и не находится самим дефендером при проверке диска.

Предупреждение появляется только при запуске программы.

 

Лог прилагаю

 

Спасибо

CollectionLog-2023.02.08-11.07.zip

[Sandor 1 303]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[rade 0]

Addition.txt FRST.txt

[Sandor 1 303]

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

Цитата

Запущено с помощью YuKay (ВНИМАНИЕ: Пользователь не является Администратором)

 

[rade 0]

32 минуты назад, Sandor сказал:

Переделайте, пожалуйста, логи, запустив программу правой кнопкой от имени администратора

 

Хорошо, переделаю. Ответ, если вы не возражаете, завтра. Сейчас компьютер недоступен. 

[Sandor 1 303]

Хорошо, ждём.

[rade 0]

17 часов назад, Sandor сказал:

Хорошо, ждём.

Спасибо за ожидание. Выполнил сканирование с учетом вашего замечания.

Addition.txt FRST.txt

[Sandor 1 303]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  (TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
  C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
  FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
  FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
  FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
  Zip: c:\FRST\Quarantine\
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

[rade 0]

8 часов назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  (TODO: <Название организации>) [File not signed] C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
  C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Restriction <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  FirewallRules: [{D40C9888-3B09-46DC-823B-105C9AE05174}] => (Allow) LPort=9247
  FirewallRules: [{46B60052-69E6-4017-A683-B4E0EBC4A1CD}] => (Allow) LPort=9246
  FirewallRules: [{1ED0B6E9-C689-4B25-A22B-4612760FEDDE}] => (Allow) LPort=9245
  FirewallRules: [{0146FFD4-B434-4D6E-88B0-D7573797CDDA}] => (Allow) LPort=9422
  Zip: c:\FRST\Quarantine\
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Fixlog.txt

 

Письмо отправить не удалось.

 

Пользователь mx.google.com отклонил ваше сообщение на следующие адреса электронной почты:

quarantine@safezone.cc (quarantine@safezone.cc)
Сообщение не доставлено, так как поставщик услуг электронной почты получателя отклонил его.

mx.google.com выдал это сообщение об ошибке:
This message was blocked because its content presents a potential security issue. Please visit https://support.google.com/mail/?p=BlockedMessage to review our message content and attachment content guidelines. r25-20020a2e9959000000b0027fd3c30a17si411469ljj.386 - gsmtp

 

возможно сообщение стоит заархивировать с паролем?

 

 

[Sandor 1 303]

1 час назад, rade сказал:

заархивировать с паролем?

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

[rade 0]

13 минут назад, Sandor сказал:

Там есть пароль, но вероятно слишком простой для Гугла )

Да, запакуйте ещё раз с другим паролем и не забудьте его сообщить.

Защитник больше не "ругается"?

 

Увы защитник ругается.
Файл отправил, пароль в теле письма.
 

[Sandor 1 303]

В каком файле обнаруживает?

[rade 0]

10 минут назад, Sandor сказал:

В каком файле обнаруживает?

C:\Users\YuKay\AppData\Local\Temp\DocumentRun.exe
 

 

это по нашего программиста из смежной канторы. я уже думаю, может в дефендере какие-то алгоритмы обновились, т.к. по не обновлялось и ранее на него не ругалось.
пробовал запускать с машины на которой ругается этот экзе файл с арандомной машины в сети - находит угрозу.
добавить программу в исключение, параноя не позволяет, вакатак в целом то серьезный вирус. 

Изменено 9 февраля, 2023 пользователем rade

[Sandor 1 303]

8 минут назад, rade сказал:

это по нашего программиста из смежной канторы

Что же вы сразу об этом не сообщили?

 

Напишите Microsoft о ложном срабатывании.

[rade 0]

Только что, Sandor сказал:

Что же вы сразу об этом не сообщили?

 

Напишите Microsoft о ложном срабатывании.

Спасибо. Простите, если зря потратил ваше время.