Обнаружил на компе Trojan:Win32/Wacatac, удаляет всё что связано с Kasper*** и т.д., с помощью загрузочной флешки от касперского пытался его удалить но безуспешно

[Albert_1777 0]

7 часов назад, Sandor сказал:

Архив получился пустой.

Переименуйте файл avz в любое другое имя из четырех символов и запустите ещё раз script2.

В первый раз когда запустил скрипт с помощью полиморфа, обратил внимание в процессе показало подозрения на файл C:\Windows\System32\dokan1.dll (rootkit или троян)

 

6 часов назад, Sandor сказал:

Речь об этом файле?

да

[regist 617]

41 минуту назад, Albert_1777 сказал:

да

переименовать надо полиморф, который вы закидываете в папку Автологера (иначе скрипты автологера неправильно отработают). Так что перед тем как выполнять скрипт2 переименуйте полиморф в любое имя из 4-х символов.

[Albert_1777 0]

26 минут назад, regist сказал:

переименовать надо полиморф, который вы закидываете в папку Автологера (иначе скрипты автологера неправильно отработают). Так что перед тем как выполнять скрипт2 переименуйте полиморф в любое имя из 4-х символов.

Архив всё равно пустой создается. Но получилось так лог сохранить.

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\Windows\System32\dokannp1.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\System32\dokannp1.dll>>> Поведенческий анализ
 Типичное для кейлоггеров поведение не зарегистрировано
C:\Windows\SYSTEM32\dokan1.dll --> Подозрение на Keylogger или троянскую DLL
C:\Windows\SYSTEM32\dokan1.dll>>> Поведенческий анализ
 Типичное для кейлоггеров поведение не зарегистрировано

log.txt

[regist 617]

5 часов назад, Albert_1777 сказал:

Архив всё равно пустой создается.

Тогда файл report2.log из папки Автологера прикрепите.
А полиморф просто запустите и выполните стандартный скрипт №2 (вроде вы это уже делали). Лог должен будет создаться zip архив в папке Log, в том месте откуда вы этот полиморф будете запускать.

 

+  выполните такой скрипт в AVZ

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\dokannp1.dll', '');
 QuarantineFile('C:\Windows\BitLocker.exe', '');
 QuarantineFile('C:\Windows\BitLocker.dll', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

 

quarantine.zip из папки с AVZ пришлите мне в ЛС.

 

На всякий случай инструкция как выполнить скрипт http://forum.kasperskyclub.ru/index.php?showtopic=7607

 

И чтобы вам меньше делать движений можете выполнить такой

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\dokannp1.dll', '');
 QuarantineFile('C:\Windows\BitLocker.exe', '');
 QuarantineFile('C:\Windows\BitLocker.dll', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteStdScr(2);     
end.

 

он должен и каратин собрать и стандартный скрипт сбора лога выполнить. А вам потом только файлы прислать (если только ваш вирус не помешает их собрать).

Изменено 16 декабря, 2020 пользователем regist

[Albert_1777 0]

10 минут назад, regist сказал:

На всякий случай инструкция как выполнить скрипт http://forum.kasperskyclub.ru/index.php?showtopic=7607

 

И чтобы вам меньше делать движений можете выполнить такой

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\System32\dokannp1.dll', '');
 QuarantineFile('C:\Windows\BitLocker.exe', '');
 QuarantineFile('C:\Windows\BitLocker.dll', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 ExecuteStdScr(2);     
end.

 

он должен и каратин собрать и стандартный скрипт сбора лога выполнить. А вам потом только файлы прислать (если только ваш вирус не помешает их собрать).

Архив с названием quarantine.zip создать не даёт, пишет нет доступа. Если изменить название архива в скрипте создает просто пустой архив(

report2.log _log.txt

[regist 617]

1 час назад, Albert_1777 сказал:

Архив всё равно пустой создается.

на всякий случай уточню, а полиморф подкидывали в ту папку, что я вам давал распакованный Автологер? То есть там все остальные утилиты и папки от Автологера присутствовали? А то судя по репорту он просто не смог запустить остальные утилиты. То есть либо их там просто не было, либо всё-таки заблокировали их запуск.

 

И раз не получается с AVZ, то попробуем по другому.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

[Albert_1777 0]

4 часа назад, regist сказал:

на всякий случай уточню, а полиморф подкидывали в ту папку, что я вам давал распакованный Автологер? То есть там все остальные утилиты и папки от Автологера присутствовали?

Все остальные утилиты тоже скрываются при распаковке вирусом

 

4 часа назад, regist сказал:

на всякий случай уточню, а полиморф подкидывали в ту папку, что я вам давал распакованный Автологер? То есть там все остальные утилиты и папки от Автологера присутствовали? А то судя по репорту он просто не смог запустить остальные утилиты. То есть либо их там просто не было, либо всё-таки заблокировали их запуск.

 

И раз не получается с AVZ, то попробуем по другому.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

 

GASK-MAIN_2020-12-16_14-24-04_v4.11.3.7z

[regist 617]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-6JVHRUNBT2Q\APPDATA\LOCAL\DLLSEARCH\UPDATER\UPDATERLAUNCHER.EXE
   delref WIZARD.EXE
   zoo %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
   delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
   delref PERMISSIONS.INI
   deltsk BITLOCKER.EXE
   apply
   
   czoo
   restart
   
   
   

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS, найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2020-06-30_22-04-27.7z)
7. Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

+ Попробуйте снова собрать логи Автологером.

 

И поищите всё-таки файлы
 

C:\Windows\BitLocker.exe
C:\Windows\BitLocker.dll

Если не видно их из под системы, то из под Live CD попробуйте скопировать их.

[Albert_1777 0]

4 часа назад, regist сказал:

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   
   
   
   ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-6JVHRUNBT2Q\APPDATA\LOCAL\DLLSEARCH\UPDATER\UPDATERLAUNCHER.EXE
   delref WIZARD.EXE
   zoo %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
   delall %SystemRoot%\SYSWOW64\RADIANCE\WIZARD.EXE
   delref PERMISSIONS.INI
   deltsk BITLOCKER.EXE
   apply
   
   czoo
   restart
   
   
   

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS, найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2020-06-30_22-04-27.7z)
7. Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

+ Попробуйте снова собрать логи Автологером.

 

И поищите всё-таки файлы
 

C:\Windows\BitLocker.exe
C:\Windows\BitLocker.dll

Если не видно их из под системы, то из под Live CD попробуйте скопировать их.

Отправил с помощью формы. Имя карантин-а(ов) сообщите в теме:
2020.12.16_ZOO_2020-12-16_16-12-49_fa7eff53e8b7acdda1fc92d54d4360d8.7z

 

4 часа назад, regist сказал:

Если не видно их из под системы, то из под Live CD попробуйте скопировать их.

Нашел из под LiveCD Dr.Web, был в карантине

 

Изменено 16 декабря, 2020 пользователем regist
забрал карантин

[regist 617]

4 часа назад, Albert_1777 сказал:

Нашел из под LiveCD Dr.Web, был в карантине

BitLocker.exe - будет добавлено детектирование Trojan.Win32.Starter.anxm

Просьба всё-таки поищите ещё и скопируйте с загрузочного диска или флешки файл

4 часа назад, regist сказал:

C:\Windows\BitLocker.dll

и заодно если будет также скопируйте и пришлите в ЛС папку

c:\windows\syswow64\radiance\

 

+ проверьте права и настройки доступа для учётных записей и групп. Этот вирус мог их изменить, что как раз могло привести к таким последствиям.

 

7 минут назад, regist сказал:

+ проверьте права и настройки доступа для учётных записей и групп. Этот вирус мог их изменить

в том числе проверьте, не были ли созданы лишние (не знакомые вам).

[regist 617]

18 часов назад, regist сказал:

проверьте права и настройки доступа для учётных записей и групп.

 

18 часов назад, regist сказал:

в том числе проверьте, не были ли созданы лишние (не знакомые вам).

Проверили? Какой результат? Улучшение в итоге есть?
Если нет, то попробуйте ещё создать новую учётную запись и проверить будут ли там те же проблемы с блокировкой. На данный момент у вас оставшиеся проблемы похоже связаны не с вирусамми, а настройками доступа.
Конечно ещё остались те две папки, но с них сейчас ничего не запускается и лежат просто мёртвым грузом (и проблема с запуском с ними и не была связана - это просто адваре), их потом удалим когда с запуском проблемы решите.

[Albert_1777 0]

3 минуты назад, regist сказал:

 

Проверили? Какой результат? Улучшение в итоге есть?
Если нет, то попробуйте ещё создать новую учётную запись и проверить будут ли там те же проблемы с блокировкой. На данный момент у вас оставшиеся проблемы похоже связаны не с вирусамми, а настройками доступа.
Конечно ещё остались те две папки, но с них сейчас ничего не запускается и лежат просто мёртвым грузом (и проблема с запуском с ними и не была связана - это просто адваре), их потом удалим когда с запуском проблемы решите.

Права у своей учетной записи посмотрел, полный доступ ко всему стоит. Быть может я не так смотрел. Если не затруднит подскажите пожалуйста где их смотреть

[regist 617]

3 часа назад, Albert_1777 сказал:

Права у своей учетной записи посмотрел, полный доступ ко всему стоит. Быть может я не так смотрел. Если не затруднит подскажите пожалуйста где их смотреть

Поскольку это уже не имеет отношение к вирусам, то лучше создайте тему в разделе: Компьютерная помощь

Там больше людей имеют право отвечать в темах, так что дело с вашей проблемой пойдёт быстрей. А когда разберётесь с правами, то потом вернётесь сюда и закончим.

 

+  напомню

3 часа назад, regist сказал:

попробуйте ещё создать новую учётную запись и проверить будут ли там те же проблемы с блокировкой.

 

[Albert_1777 0]

10 минут назад, regist сказал:

+  напомню

 

проблемы остались

[regist 617]

Повторюсь создайте тему в соседнем разделе, укажите, что у вас "Windows Server 2016 Standard", краткое описание проблемы и ссылку на эту тему. Думаю вам там помогут разобраться и проверить настройки политик и прочие ограничения которые к этому могут приводить.

А в этой теме для контроля ещё раз соберите лог Гмер и прикрепите его.