Trojan:Win32/Casdet!rfn и Trojan:Win32/AgentTesla!ml

[Asya]

Добрый день!

Несколько дней назад после скачивания из ВК и открытия файла электронной книжки Вин Дефендер начал ругаться на Trojan:Win32/Casdet!rfn. С трудом его всё-таки заблочил. Хотя я даже не знаю, на какой конкретно файл exe он ссылался, не проверила. Полезла тогда на сайт Доктора Вэба за CureIt, но на него он тоже возмутился, уже как на Trojan:Win32/AgentTesla!ml. Я снесла к чёрту всю папку загрузки со всеми файлами, так что теперь даже не проверить, на что конкретно была реакция.
Сейчас в журнале защиты верхней надписью остаётся "Исправление не завершено", что немного напрягает. При этом все последующие проверки угрозу уже не находят. 
Проверяла компьютер KVRT, CureIt, ESET, MSERT - у всех чистые результаты. (Только Др Вэб в очередной раз отметил один рекламный файл с Adware.Sweetlabs5, и в очередной раз его снесла). 

Подскажите, пожалуйста, у Дефендера ложное срабатывание? Или какой-то из вирусов всё же был? Имеет ли смысл убирать записи из Зищитника или, если угрозы нет, можно не волноваться и оставить, как есть? 

Логи собирала с выключенным инетом (это ничего?). Заранее спасибо за помощь!

  

CollectionLog-2023.03.22-16.40.zip

[Sandor]

Здравствуйте!

 

В логах тоже не видно ничего криминального.

 

32 минуты назад, Asya сказал:

остаётся "Исправление не завершено", что немного напрягает

Как мне видится: Защитник не успел как следует отработать угрозу, а вы вручную удалили файл. Вот и осталась надпись. Причём, это только запись в журнале.

Если сможете самостоятельно очистить журнал, хорошо. Если не сможете, сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Asya]

Здравствуйте, спасибо за ответ!

 

Цитата

Защитник не успел как следует отработать угрозу, а вы вручную удалили файл

Я удаляла папку уже после того, как Защитник зациклился, поэтому не могу быть уверена, что тут первичней. Удалить записи оттуда тоже не знаю, как. У меня в нём до сих пор числится заблокированный год назад торрент.

Для личного спокойствия я бы уже откатила систему до заводских, но не уверена, что нынешним вирусам это какая-то помеха. Всё ещё надеюсь, что это было ложное срабатывание.

Спасибо за помощь.

FRST.txt Addition.txt

[Sandor]

Хорошо, попробуем очистить скриптом. Выполняйте его в безопасном режиме.

 

• Выделите следующий код:

• Start::
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Asya]

Здравствуйте!

 

Выполнила скрипт, записи в Защитнике очистились. Спасибо! Новые проверки ещё не проводила. Можно ли считать, что мой компьютер теперь чист или нужно его ещё как-то проверить, чтоб убедиться, что следов вирусов не осталось?

Fixlog.txt

[Sandor]

Да, он и был чист, только записи в журнале Защитника.

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Asya]

Здравствуйте ещё раз!

 

Спасибо вам огромное за помощь! Уже как-то неловко, но тут не понос так золотуха(( Пока с утра не работал сайт для скачки СекьюритиЧека, пришли родственники со старой флэшкой "Проверить фоточки" и при открытии запустили мамонта Worm:win32/autorun!inf. Дефендер ругнулся, с угрозой ничего не сделал, флэшку вытащили. Активная запись в журнале опять зациклилась. 
Психанула и удалила файлы из папки Windows Defender\Scans\History\Service. Возможно, зря...  Сейчас журнал по записям пуст, новые сканирования угроз не выявляют.
Но я уже прям не знаю, опять логи собирать? Только удалила все утилиты, эх

Ну и файл чека, делался с отключенным Дефендером.

Простите, что так напрягаю. Спасибо, что тратите время на помощь.

SecurityCheck.txt

Изменено 24 марта, 2023 пользователем Asya

[Sandor]

А диск D - это флешка?

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
calibre 64bit v.5.29.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 13.7.5 v.13.7.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex (All Users) v.23.1.5.708 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

И если уж вас не устраивает работа Защитника, установите правильный антивирус (хоть бесплатную версию).

[Asya]

Да, флэшка. Защитник на неё ссылался. После перезапуска компа активная запись попала в формат "исправление не завершено", как и в скринах в первом сообщении. После этого я удалила файлы истории сканирования в папке Service. Теперь в защитнике угроза нигде не фиксируется.

[Sandor]

Понятно, словом, повторилась та же ситуация.

 

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

[Asya]

Спасибо вам огромное за помощь! Да, тут, видимо, без установки нормального антивируса уже никуда.
Я так понимаю, что у меня ещё и точки восстановления отсутствуют, что не есть хорошо

[Sandor]

Да, надо бы включить восстановление. Ориентируйтесь на эту инструкцию.