[РЕШЕНО] Trojan:Win32/Wacatac.D!ml

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  R3 EnigmaFileMonDriver; C:\Windows\system32\Drivers\EnigmaFileMonDriver.sys [76744 2021-11-18] (EnigmaSoft Limited -> EnigmaSoft Limited)
  R1 ESProtectionDriver; C:\Windows\system32\drivers\mbae64.sys [160176 2021-11-17] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  R2 MBAMChameleon; C:\Windows\System32\Drivers\MbamChameleon.sys [210352 2021-11-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  S0 MbamElam; C:\Windows\System32\DRIVERS\MbamElam.sys [19912 2021-11-17] (Microsoft Windows Early Launch Anti-malware Publisher -> Malwarebytes)
  R3 MBAMFarflt; C:\Windows\System32\DRIVERS\farflt.sys [193448 2021-11-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  R3 MBAMProtection; C:\Windows\system32\DRIVERS\mbam.sys [69040 2021-11-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  R3 MBAMSwissArmy; C:\Windows\System32\Drivers\mbamswissarmy.sys [248992 2021-11-18] (Malwarebytes Inc -> Malwarebytes)
  R3 MBAMWebProtection; C:\Windows\system32\DRIVERS\mwac.sys [149424 2021-11-18] (Microsoft Windows Hardware Compatibility Publisher -> Malwarebytes)
  R2 EsgShKernel; C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe [14649632 2021-11-17] (EnigmaSoft Limited -> EnigmaSoft Limited)
  R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe <==== ВНИМАНИЕ (Доступ не разрешён)
  2021-11-17 19:00 - 2021-11-17 19:55 - 000000000 __SHD C:\Program Files\Malwarebytes
  2021-11-17 19:00 - 2021-11-17 19:55 - 000000000 ____D C:\ProgramData\Malwarebytes
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После перезагрузки пробуйте установить Malwarebytes.

[Демосс]

пошел этот malwarebytes на все 4 стороны!
после установки malwarebytes, вылезло пустое окно ошибки с так же пустой кнопкой.
при нажатии на кнопку, ПК перезапустился и продолжал перезапускать сам себя даже пока я находился на окне введения пароля. сейчас это пишу с safe mode  

Fixlog.txt

Изменено 19 ноября, 2021 пользователем Демосс

[Sandor]

Не спешите. Вы сказали, что удалили Malwarebytes, а оказалось, что следы его ещё есть.

Удалите таким способом:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

[Демосс]

Готово. Переустанавливать? Ведь я скачал malwarebytes только для попытки убрать троян.

 

Изменено 19 ноября, 2021 пользователем Демосс

[Sandor]

Сначала сделайте такую процедуру:

 

Сделайте лог Process Monitor следующим образом: запустите Process Monitor -> воспроизведите проблему, для этого запустите AutoLogger с зажатой кнопкой Shift и дождитесь окончания сбора логов.  -> Cохраните лог Process Monitor-а: меню File -> Save -> PML-формат; заархивируйте и выложите на любой файлообменник. Ссылку на скачивание дайте здесь.

 

После этого да, установите Malwarebytes и сделайте полную проверку. Результат покажите.

[regist]

Цитата

C:\Users\Глеб\Downloads\AutoLogger\AutoLogger\report3.log

такой файл есть? Если да, то прикрепите его.

1 час назад, Sandor сказал:

Поясните, это какой скрипт вы выполняли?

Тогда поясните в чём в его выполняли? А точней как назывался файл в котором вы его выполнили и где он лежал.

Ибо похоже вы делаете не то что просят, а в итоге очень сильно запутываете и сильно осложняете помощь вам.

[Демосс]

1 час назад, Sandor сказал:

Ссылку на скачивание дайте здесь.

 

https://transfiles.ru/vifzf

AutoLoggerreport3.log
 
malwarevirusreport.txt
результаты сканирования malwarebytes свеху

Изменено 19 ноября, 2021 пользователем Демосс

[Sandor]

Повторите сканирование Malwarebytes и удалите (поместите в карантин) только:

Цитата

Файл: 
Trojan.Agent.E, C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE, Проигнорировано пользователем, 3601, 717813, 1.0.47369, , ame, , , 
Trojan.WMIHijacker, C:\USERS\Глеб\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WORLD OF TANKS.LNK, Проигнорировано пользователем, 12393, 514947, 1.0.47369, , ame, , 56E33804D11B3B3FB33841C59E57DA9A, CF47D34985FB70D679368DA97905954E400B18E8BA4B596AA4AE4BA00459B07E
Trojan.WMIHijacker, C:\USERS\Глеб\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\CROSSOUT.LNK, Проигнорировано пользователем, 12393, 514947, 1.0.47369, , ame, , 5744D1314EF3728EE2D84EE06B995D1E, 1946C693DD241605CBD21192BE2E7FE67252FC288B3772E7FA686A4EB88AF84A
Trojan.WMIHijacker, C:\USERS\Глеб\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WORLD OF WARSHIPS.LNK, Проигнорировано пользователем, 12393, 514947, 1.0.47369, , ame, , 7FB1AA19029A3B4819B5AEBB751729A8, C78022653C9D179DC1A798380CB5DFB76C09DA0425A6677026A3587ABC373833

Остальное - ложное срабатывание.

[Демосс]

Готово, сделал еще одно сканирование, кроме ложных срабатываний ничего не обнаружено. Требуются ли еще какие-нибудь действия?

[Sandor]

Что с проблемой?

[Демосс]

Компьютер работает быстрее, WD  горит зелёным. 

[Sandor]

В завершение:

1. Деинсталлируйте Malwarebytes.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sandor]

19.11.2021 в 16:26, Демосс сказал:

https://transfiles.ru/vifzf

Прошу прощения, сразу не забрал, а там закончился срок хранения. Залейте ещё раз, пожалуйста.

[Демосс]

SecurityCheck.txt
https://transfiles.ru/b9kdm

 

 

[Sandor]

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes Privacy version 3.9.0.729 v.3.9.0.729 Внимание! Скачать обновления
Malwarebytes Privacy VPN Tunnel Driver v.1.0.0.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.8.3 (1581) Внимание! Скачать обновления
 

 

Читайте Рекомендации после удаления вредоносного ПО

(Файл забрал, спасибо)