[РЕШЕНО] Троян Wacatac.B!ml

[Mishail]

Здравствуйте, все началось с того что мне нужно было скачать установительные диски MS-Dos для Virtual Box (много файлов не пропускало - были с вирусами, ну я этому не предал значения и дальше их не устанавливал). На следующий день захожу в браузер Opera и вижу место поисковика Google - Find IT pro. Я ж смотрю появилось странной расширение и еще на разных браузерах, ну я почистил кэш и поудалял это расширение. Дальше все нормально работало и в один момент антивирус начал ругаться - захожу а там целый букет Троянов и Майнеров. Я сразу же начал сканировать через SpyHunter (он за 2 часа ничего не обнаружил), потом сканировал вирусы через mrt (3.30 часа - тоже ничего не нашел),потом полностью сканировал еще раз через встроенный антивирус Windows (в журнале угроз выдает куча вирусов, но когда захожу в полный журнал угроз - ничего уже нету), смотрел через Панель Управления/Программы и компоненты - никаких новых скаченных приложений не было,  смотрел так же в Диспетчере задач - так как у меня процессор Ryzen и нету видеокарты (а встроенное ядро) майнер по идее должен быть на видеокарте, но так нету её процессор занят на 3-10%. Так же искал сторонние приложения в вкладках Процессы,Автозагрузка,Подробности,Службы - посторонних програм не нашел. И самое главное никаких нагрузок и пролагов нету, все работало как и раньше, помогите пожалуйста решить проблему.

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[Mishail]

@thyrexВот: 

CollectionLog-2021.11.21-10.10.zip

[Mishail]

@thyrexну что, поможете?🙄

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Mishail]

@thyrexВот:

Архив WinRAR.rar

[Sandor]

Если не возражаете, я продолжу.

 

Деинсталлируйте бесполезный SpyHunter4.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\Миша\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-1860530400-3111590743-3981281768-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  S2 SpyHunter 4 Service; D:\Program Files\SpyHunter\SH4Service.exe [797352 2016-07-20] (Enigma Software Group USA, LLC -> Enigma Software Group USA, LLC.)
  S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [22704 2016-10-15] (Enigma Software Group USA, LLC -> )
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [842]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [842]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [842]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [842]
  AlternateDataStreams: C:\Users\Миша\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Миша\Application Data:NT2 [842]
  AlternateDataStreams: C:\Users\Миша\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Миша\AppData\Roaming:NT2 [842]
  AlternateDataStreams: C:\Users\Миша\AppData\Local\Temp:$DATA [16]
  FirewallRules: [{60033D25-1543-4C43-B371-609776D52948}] => (Allow) LPort=32682
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Mishail]

@Sandor

Fixlog.txt

[Sandor]

Что с проблемой?

[Mishail]

@SandorПишет что угроз в карантине нету, но если зайти в Полный журнал - угрозы остались. А вот перезашел посмотреть - угрозы пропали, может интерфейс лагает?

@SandorВот что показывает: 

Изменено 22 ноября, 2021 пользователем Mishail

[Sandor]

Кнопкой "Очистить журнал" содержимое не очищается?

[Mishail]

@Sandorне могу сказать так как в данный момент зашел проверить и нету угроз

[Sandor]

Вот и хорошо.

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Mishail]

@Sandor

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Skype, версия 8.72 v.8.72 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46112 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО