Перейти к содержанию

Trojan:script/wacatac.b!ml


Рекомендуемые сообщения

Когда захожу в список разрешенных угроз, там висят файлы со скрина, когда нажимаю "не разрешать", после перезахода в меню файлы появляются снова. В архиве файлы скана через AVZ и FRST.

Безопасность Windows 27.11.2020 14_20_57.png

Logs.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Unity Web Player

Unity Web Player (x64) (All users)

 

 

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    BootExecute: autocheck autochk * sh4native 7099
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {342956C4-D3DC-4726-A8F4-6E4798089070} - System32\Tasks\RKEPFDfNvNgdPeIYW2 => rundll32 "C:\Program Files (x86)\qvcauKoZhNOzUlYjelR\AFkWDRG.dll",#1
    Task: {3E9AC373-66DC-4AD8-82F9-98A0CE4870CE} - System32\Tasks\SpyHunter4Startup => C:\Program Files\SpyHunter\SpyHunter4.exe
    Task: {81A49616-0167-4B5C-AEFF-C60F9CD1A2E4} - System32\Tasks\Maxthon5 Update => C:\games\Maxthon5\Bin\Maxthon.exe
    Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
    Edge DefaultSearchKeyword: Default -> search-cdn.net
    CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> cdn
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
    S2 MxService; C:\games\Maxthon5\Bin\MxService.exe [X]
    Folder: C:\NPRILQdFqDVqZQ8d
    2020-11-27 08:07 - 2020-11-27 08:07 - 000000000 ___HD C:\NPRILQdFqDVqZQ8d
    AlternateDataStreams: C:\desktop.ini:CachedTiles [442]
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [636]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [636]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [636]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [636]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [636]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [222]
    AlternateDataStreams: C:\Users\User\Application Data:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\User\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\User\Application Data:NT [40]
    AlternateDataStreams: C:\Users\User\Application Data:NT2 [636]
    AlternateDataStreams: C:\Users\User\ntuser.ini:NTV [10108]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [636]
    AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
    URLSearchHook: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 - (No Name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - No File
    SearchScopes: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1380021399-1963026553-1133024781-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
    FirewallRules: [{2A80F5E6-D867-4688-9755-7E32E2962715}] => (Allow) C:\games\Maxthon5\Bin\Maxthon.exe => No File
    FirewallRules: [{6EA56E7E-751C-41CA-915F-5E88C973C495}] => (Allow) C:\games\Maxthon5\Bin\Maxthon.exe => No File
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Давайте проверим уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


  Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.8 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45828 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 241 (64-bit) v.8.0.2410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.27.0.0.124 Внимание! Скачать обновления
Adobe Flash Player 27 NPAPI v.27.0.0.187 Внимание! Скачать обновления
Adobe Flash Player 32 PPAPI v.32.0.0.321 Внимание! Скачать обновления
Adobe Shockwave Player 12.3 v.12.3.1.201 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
swMSM v.12.0.0.1 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.12) - Russian v.11.0.12 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.20.6.1.148 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.86.0.4240.198 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Всё перечисленное выполните.

 

8 минут назад, Andrew7 сказал:

Сделал, но всё так же эти угрозы остались

Получается по той инструкции ничего не очистилось, так?

Ссылка на сообщение
Поделиться на другие сайты

По той инструкции почистился журнал угроз, которые антивирус смог переместить в карантин и т.д. Но сам список разрешенных угроз - нет.

 

 

Что за программа swMSM v.12.0.0.1 в списке приложений её нет, и поиск на диске С ничего не показал?

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, Andrew7 сказал:

в списке приложений её нет

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Должна появиться.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • аноним99
      От аноним99
      По указанию консультанта создаю вторую тему и прилагаю данные со второго ПК (ПК А в первой теме)
      Прилагаю логи AutoLogger и данные Farbar Recovery Scan Tool
      CollectionLog-2024.03.08-15.09.zip Addition.txt FRST.txt
    • TYRBOGARLIK
      От TYRBOGARLIK
      Как удалить с 11 винды, касперский, др веб, malware не обнаружили 
    • wixard
      От wixard
      Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.
      В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.
      Анивируса стороннего у меня не стояло. 
      Подскажите пожалуйста как или чем можно убрать данный троян.
      Перепробовал все, что сам знал, теперь обращаюсь к вам, видел старые обращения от людей, где вы советуете утилиту "FRST".
      Скачал ее, мне выдало 2 документа, сейчас прикреплю их, прошу помощи, что с ними делать дальше?
      Addition.txt FRST.txt
    • A7fold
      От A7fold
      Доброго времени суток. В продолжении своей темы о борьбе с wacatac - система чистая, все хорошо, однако у злоумышленника остается доступ к моим данным из хрома(аккаунты соц сетей в частности, при этом доступа к gmail у него нет(по крайней мере безопасность гугла ни разу не срабатывала и не появлялись новые устройства). Если вдруг кто то сталкивался с такой ситуацией и знает как решить проблему - буду очень благодарен.
       
    • Rogiman
      От Rogiman
      Хотел установить трейнер и кликнув по первой ссылке, скачав файл и попытавшись его установить получил букет из вирусов:  
      CollectionLog-2021.12.27-05.23.zip
×
×
  • Создать...