[РЕШЕНО] Поймал Trojan:Script/Wacatac.H!ml. Не получается удалить

[simon-martens]

При установке приложения из интернета прилетел Trojan:Script/Wacatac.H!ml. Windows Defender с ним сделать ничего не может. Запускаю действие - ничего не происходит. Перепробовал уже много чего. И журнал истории удалял и само приложение, на экзешник которого дефендер ругается (USB Type Determination), нашел и удалил. Другие антивирусы и malware софт этот троян не видят. Самого файла ехе этого нет, там где он указан. Видимость скрытых файлов включена.
Помогите пожалуйста.
Я на этом компе работаю, весь этот софт который нужен я неделю буду переустанавливать....

[safety]

Порядок оформления запроса о помощи.

[simon-martens]

Все сделал. Доктор вэб ничего не нашел. Стоит касперский премиум, проверял, тоже не видит ничего.

CollectionLog-2024.02.03-17.52.zip

[safety]

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

[simon-martens]

 

 

Addition.txt FRST.txt

[safety]

Windef ругается на этот файл:

Quote

Date: 2024-02-03 11:00:53
Description:
Программа Антивирусная программа Microsoft Defender обнаружила вредоносные или другие потенциально нежелательные программы.
Имя: Trojan:Script/Wacatac.H!ml
ИД: 2147814524
Серьезность: Критический
Категория: Троян
Путь: file:_C:\Users\simon\AppData\Local\USB Type Determination\usbtypedetermination.exe
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Система
Пользователь:
Название процесса: Unknown

Какие то действия выполнили после обнаружения?

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[simon-martens]

Полное сканирование дефендером. Им же в автономном режиме. 
Anti-malware устанавливал. Он этот вирус не нашел.
Нашел в программах установленный USB Type Determination - удалил.
По пути C:\Users\simon\AppData\Local\USB Type Determination\usbtypedetermination.exe файла этого не нашел. Показ скрытых включен.
Искал usbtypedetermination.exe поиском на диске c:\, с таким именем находит только файлы с расширением .dmp
Пробовал очищать журнал дефендера в безопасном режиме. После этого он этот вирус показал в количестве 5.
Поставил касперский про. Полное сканирование диска с: тоже ничего не выявило. Реестр им же чистил и файлы.
Ну и последние процедуры под Вашим руководством.

DESKTOP-3K1OB0J_2024-02-03_20-51-49_v4.15.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\PROGRAMS\555B9FD48D5E\1E2A9DC9C9.MSI
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\PROGRAMS\555B9FD48D5E\1E2A9DC9C9.MSI
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKADAOHCKDKGHFACLHJMKMPLEBCDCNFNP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.DELTA-HOMES.COM/?UTM_SOURCE=B&UTM_MEDIUM=WPM0226&UTM_CAMPAIGN=INSTALLER&UTM_CONTENT=HP&FROM=WPM0226&UID=MAXTORX6V080E0_V22MK4WG&TS=1393411463
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAGIPNMMJNJCFGKHMLGIFIKMIBGNGBLOP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\RED GIANT LINK\RED GIANT LINK.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\EVNTAGNT.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM?FILES??X86?\ELICENSER\POS\SYNSOPOS.EXE
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\TEMP\AIDA64DRIVER.SYS
delref %SystemDrive%\PROGRAM FILES\BRAVESOFTWARE\BRAVE-BROWSER\APPLICATION\121.1.62.156\ELEVATION_SERVICE.EXE
delref %Sys32%\DRIVERS\PFC.SYS
delref %SystemDrive%\PROGRAM FILES\SPYWARE PROCESS DETECTOR\SPD400.SYS
delref G:\AUTORUN.EXE
delref J:\SETUP.EXE
delref E:\GAME\DYING LIGHT\-DYINGLIGHTGAME-OFFLINE.EXE
delref %SystemDrive%\GAME\GTA5 [PREMIUM EDITION] (2015) PORTABLE BY CANEK77\GTA5.EXE
delref E:\GAME\WATCH DOGS LEGION\BIN\WATCHDOGSLEGION.EXE
delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\ESET\ESETONLINESCANNER\ESETONLINESCANNER.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt+ZOO_двта_время.7z из папки uVS, в ваше сообщение,

напишите по результату что с детектами происходит после скрипта.

[simon-martens]

Детекты это в дефендере?

2024-02-03_21-40-55_log.txt ZOO_2024-02-03_21-40-55.7z

 

В дефендере этот вирус теперь еще в большем количестве, 10 записей одного и того же вируса.

[safety]

22 minutes ago, simon-martens said:

Детекты это в дефендере?

да, о них речь с самого начала

1 minute ago, simon-martens said:

В дефендере этот вирус теперь еще в большем количестве, 10 записей одного и того же вируса.

важно смотреть на даты, есть ли новые записи по дате и времени после того как был выполнен скрипт очистки

[simon-martens]

Дата одна и та же 

[safety]

3 minutes ago, simon-martens said:

Дата одна и та же 

сделайте скрин обнаружений, дата понятно что одна - сегодня, но время может быть разным

Изменено 3 февраля пользователем safety

[simon-martens]

[safety]

обратите, что даты все вчерашние(от 02.02.2024), т.е. на текущий момент нет обнаружений. Если у вас правильно сейчас выставлена системная дата.

Изменено 3 февраля пользователем safety

[simon-martens]

То есть все нормально?