Trojan:script/wacatac.b!ml

[Andrew7 0]

Когда захожу в список разрешенных угроз, там висят файлы со скрина, когда нажимаю "не разрешать", после перезахода в меню файлы появляются снова. В архиве файлы скана через AVZ и FRST.

Logs.rar

[Sandor 856]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Unity Web Player

Unity Web Player (x64) (All users)

 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  BootExecute: autocheck autochk * sh4native 7099
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {342956C4-D3DC-4726-A8F4-6E4798089070} - System32\Tasks\RKEPFDfNvNgdPeIYW2 => rundll32 "C:\Program Files (x86)\qvcauKoZhNOzUlYjelR\AFkWDRG.dll",#1
  Task: {3E9AC373-66DC-4AD8-82F9-98A0CE4870CE} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe
  Task: {81A49616-0167-4B5C-AEFF-C60F9CD1A2E4} - System32\Tasks\Maxthon5 Update => C:\games\Maxthon5\Bin\Maxthon.exe
  Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> search-cdn.net
  CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  S2 MxService; C:\games\Maxthon5\Bin\MxService.exe [X]
  Folder: C:\NPRILQdFqDVqZQ8d
  2020-11-27 08:07 - 2020-11-27 08:07 - 000000000 ___HD C:\NPRILQdFqDVqZQ8d
  AlternateDataStreams: C:\desktop.ini:CachedTiles [442]
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [636]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [636]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [636]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [636]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [636]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [222]
  AlternateDataStreams: C:\Users\User\Application Data:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\User\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\User\Application Data:NT [40]
  AlternateDataStreams: C:\Users\User\Application Data:NT2 [636]
  AlternateDataStreams: C:\Users\User\ntuser.ini:NTV [10108]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [636]
  AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
  URLSearchHook: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
  SearchScopes: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
  SearchScopes: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
  FirewallRules: [{2A80F5E6-D867-4688-9755-7E32E2962715}] => (Allow) C:\games\Maxthon5\Bin\Maxthon.exe => No File
  FirewallRules: [{6EA56E7E-751C-41CA-915F-5E88C973C495}] => (Allow) C:\games\Maxthon5\Bin\Maxthon.exe => No File
  EmptyTemp:
  Reboot:
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Andrew7 0]

Fixlog.txt

[Sandor 856]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Andrew7 0]

AdwCleaner[S02].txt

[Sandor 856]

Понаблюдайте будет ли воспроизводиться проблема.

[Andrew7 0]

Вы хотите сказать эти файлы не вредят системе? Но почему они тогда висят в списке разрешенных угроз?

[Sandor 856]

Создайте контрольную точку и попробуйте очистить историю угроз.

[Andrew7 0]

Сделал, но всё так же эти угрозы остались и не удаляются из списка разрешённых.

[Sandor 856]

Давайте проверим уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

  Изменено 27 ноября, 2020 пользователем Sandor

[Andrew7 0]

SecurityCheck.txt

[Sandor 856]

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.8 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45828 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 241 (64-bit) v.8.0.2410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.27.0.0.124 Внимание! Скачать обновления
Adobe Flash Player 27 NPAPI v.27.0.0.187 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.321 Внимание! Скачать обновления
Adobe Shockwave Player 12.3 v.12.3.1.201 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.12) - Russian v.11.0.12 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.20.6.1.148 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.86.0.4240.198 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Всё перечисленное выполните.

 

8 минут назад, Andrew7 сказал:

Сделал, но всё так же эти угрозы остались

Получается по той инструкции ничего не очистилось, так?

[Andrew7 0]

По той инструкции почистился журнал угроз, которые антивирус смог переместить в карантин и т.д. Но сам список разрешенных угроз - нет.

 

 

Что за программа swMSM v.12.0.0.1 в списке приложений её нет, и поиск на диске С ничего не показал?

[Sandor 856]

1 минуту назад, Andrew7 сказал:

в списке приложений её нет

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Должна появиться.

[Andrew7 0]

Вроде всё обновил и удалил, как было написано.