Trojan:script/wacatac.b!ml

27 ноября, 2020

Когда захожу в список разрешенных угроз, там висят файлы со скрина, когда нажимаю "не разрешать", после перезахода в меню файлы появляются снова. В архиве файлы скана через AVZ и FRST.

Logs.rar

27 ноября, 2020

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Unity Web Player

Unity Web Player (x64) (All users)

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
BootExecute: autocheck autochk * sh4native 7099
GroupPolicy: Restriction - Chrome <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {342956C4-D3DC-4726-A8F4-6E4798089070} - System32\Tasks\RKEPFDfNvNgdPeIYW2 => rundll32 "C:\Program Files (x86)\qvcauKoZhNOzUlYjelR\AFkWDRG.dll",#1
Task: {3E9AC373-66DC-4AD8-82F9-98A0CE4870CE} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe
Task: {81A49616-0167-4B5C-AEFF-C60F9CD1A2E4} - System32\Tasks\Maxthon5 Update => C:\games\Maxthon5\Bin\Maxthon.exe
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> search-cdn.net
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
S2 MxService; C:\games\Maxthon5\Bin\MxService.exe [X]
Folder: C:\NPRILQdFqDVqZQ8d
2020-11-27 08:07 - 2020-11-27 08:07 - 000000000 ___HD C:\NPRILQdFqDVqZQ8d
AlternateDataStreams: C:\desktop.ini:CachedTiles [442]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [636]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [636]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [636]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [636]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [636]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [222]
AlternateDataStreams: C:\Users\User\Application Data:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\User\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [636]
AlternateDataStreams: C:\Users\User\ntuser.ini:NTV [10108]
AlternateDataStreams: C:\Users\User\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [636]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
URLSearchHook: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
SearchScopes: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{2A80F5E6-D867-4688-9755-7E32E2962715}] => (Allow) C:\games\Maxthon5\Bin\Maxthon.exe => No File
FirewallRules: [{6EA56E7E-751C-41CA-915F-5E88C973C495}] => (Allow) C:\games\Maxthon5\Bin\Maxthon.exe => No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

27 ноября, 2020

Fixlog.txt

27 ноября, 2020

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

27 ноября, 2020

AdwCleaner[S02].txt

27 ноября, 2020

Понаблюдайте будет ли воспроизводиться проблема.

27 ноября, 2020

Вы хотите сказать эти файлы не вредят системе? Но почему они тогда висят в списке разрешенных угроз?

27 ноября, 2020

Создайте контрольную точку и попробуйте очистить историю угроз.

27 ноября, 2020

Сделал, но всё так же эти угрозы остались и не удаляются из списка разрешённых.

27 ноября, 2020

Давайте проверим уязвимые места:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Изменено 27 ноября, 2020 пользователем Sandor

27 ноября, 2020

SecurityCheck.txt

27 ноября, 2020

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.8 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45828 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 241 (64-bit) v.8.0.2410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.27.0.0.124 Внимание! Скачать обновления
Adobe Flash Player 27 NPAPI v.27.0.0.187 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.321 Внимание! Скачать обновления
Adobe Shockwave Player 12.3 v.12.3.1.201 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.12) - Russian v.11.0.12 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.20.6.1.148 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.86.0.4240.198 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Всё перечисленное выполните.

8 минут назад, Andrew7 сказал:

Сделал, но всё так же эти угрозы остались

Получается по той инструкции ничего не очистилось, так?

27 ноября, 2020

По той инструкции почистился журнал угроз, которые антивирус смог переместить в карантин и т.д. Но сам список разрешенных угроз - нет.

Что за программа swMSM v.12.0.0.1 в списке приложений её нет, и поиск на диске С ничего не показал?

27 ноября, 2020

1 минуту назад, Andrew7 сказал:

в списке приложений её нет

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Должна появиться.

27 ноября, 2020

Вроде всё обновил и удалил, как было написано.

Trojan:script/wacatac.b!ml

Рекомендуемые сообщения

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Andrew7

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum