[РЕШЕНО] Trojan:Win32/Wacatac.D!ml

[Wishnya 0]

Windows defender обнаружил Trojan:Win32/Wacatac.D!ml. При попытке удалить\поместить на карантин ничего не происходит.

CollectionLog-2020.10.21-14.46.zip

[Sandor 962]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

NetShield Kit 1.3.40.0
 

 

"Пофиксите" в HijackThis:

	R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
	R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
	R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)
	O17 - DHCP DNS 2: 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{98fc2bcf-d82c-11e7-8b06-806e6f6e6963}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{9e2f48f8-2c95-4861-9f6d-16a02da7e4ad}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{a0bbdbee-6c0f-404e-bb57-35cc7c7671a2}: [NameServer] = 37.59.58.122
	O17 - HKLM\System\CCS\Services\Tcpip\..\{c8590665-b370-4e23-a607-8d672375154a}: [NameServer] = 37.59.58.122
	O22 - Task: ACebGKLIWrNtBBZYe2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\hRLPhinczpadDEDWtlR\qBQwxQt.dll",#1
	O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade
	O22 - Task: UJpLqWQuvujiHAQUOrH2 - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\rKJynLrOvgnIC\ofObilP.dll",#1
	O22 - Task: VPVyoPDujUodEo - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\mmLcMYLNOiuU2\MwUKTupzCyFeQ.dll",#1

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Изменено 21 октября, 2020 пользователем Sandor

[Wishnya 0]

Все сделала.

AdwCleaner[S00].txt

[Sandor 962]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Wishnya 0]

Addition.txt FRST.txt

AdwCleaner[C02].txt

Изменено 21 октября, 2020 пользователем Wishnya

[Sandor 962]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  
  HKU\S-1-5-21-915363819-2331218686-1454633553-1001\...\Run: [AceStream] => C:\Users\Wishnya\AppData\Roaming\ACEStream\engine\ace_engine.exe
  FF HKU\S-1-5-21-915363819-2331218686-1454633553-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Wishnya\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
  CHR Notifications: Default -> hxxps://mail-notification.info
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxps://www.google.com/"
  C:\Users\Wishnya\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
  
  C:\Users\Wishnya\AppData\Local\Google\Chrome\User Data\Default\Extensions\mojknhmjfanggmphddklmlgehhnbmkmo
  
  CHR HKU\S-1-5-21-915363819-2331218686-1454633553-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
  2020-10-21 12:53 - 2020-10-21 13:36 - 000000000 ____D C:\ProgramData\ZVGGBJVDFLOWaJVB
  NetShield Kit 1.3.40.0 (HKLM-x32\...\{8bc41a47-540a-4127-a405-3769ba5bf553}) (Version: 1.3.40.0 - Sigma Software) Hidden
  AlternateDataStreams: C:\ProgramData\.rdata:X [526]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]
  FirewallRules: [{31650B4A-607F-467B-9F1A-61F8B93676E4}] => (Allow) LPort=25565
  FirewallRules: [{60056A33-CA5F-4E64-9BD1-34E095E54D72}] => (Allow) LPort=25565
  FirewallRules: [{0DC6622B-7993-4C15-95FD-1D49A588395F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
  FirewallRules: [{8851C2E0-533D-4271-B631-53E91E259C25}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
  FirewallRules: [{1E6A83F3-9135-4169-8434-F5E0E9303E54}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
  FirewallRules: [{4154A31F-7537-4847-ADF6-75FEBEF96D2D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
  FirewallRules: [{109698F5-2A55-4889-BD96-A40EB5EB5127}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
  FirewallRules: [{A4215D06-F184-4552-B903-69245D7B579F}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => No File
  FirewallRules: [{E85AA48C-C82B-4942-8393-C720A3476B9A}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
  FirewallRules: [{726D43E3-5D4F-493D-820C-4257454E5668}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
  FirewallRules: [{E7CE693B-C19E-482E-A2BC-34A4E09F2DB2}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
  FirewallRules: [{D4954364-5427-4DE8-886C-312989E9EA03}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

В перечне установленных программ появится NetShield Kit 1.3.40.0, на этот раз удалите его.

[Wishnya 0]

Кнопка удаления NetShield Kit 1.3.40.0 через удаление программ неактивна.

Fixlog.txt

[Sandor 962]

Пробуйте удалить принудительно через Geek Uninstaller

[Wishnya 0]

Через него получилось.

Изменено 21 октября, 2020 пользователем Wishnya

[Sandor 962]

Что сейчас с проблемой?

[Wishnya 0]

Вроде бы все в порядке, Windows defender горит зеленым.

[Sandor 962]

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Wishnya 0]

К сожалению SecurityCheck не смог обновить базы данных и я продолжила сканирование с локальными базами, скачивать его также пришлось через vpn т.к. сайт не загружался.

SecurityCheck.txt

[Sandor 962]

Не страшно, локальная база относительно свежая.

 

--------------------------- [ OtherUtilities ] ----------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
XnView 2.40 v.2.40 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
 

 

Читайте Рекомендации после удаления вредоносного ПО

[Wishnya 0]

Большое спасибо за вашу помощь.