Перейти к содержанию

[РЕШЕНО] Троян Wacatac.B!ml


Рекомендуемые сообщения

Здравствуйте, все началось с того что мне нужно было скачать установительные диски MS-Dos для Virtual Box (много файлов не пропускало - были с вирусами, ну я этому не предал значения и дальше их не устанавливал). На следующий день захожу в браузер Opera и вижу место поисковика Google - Find IT pro. Я ж смотрю появилось странной расширение и еще на разных браузерах, ну я почистил кэш и поудалял это расширение. Дальше все нормально работало и в один момент антивирус начал ругаться - захожу а там целый букет Троянов и Майнеров. Я сразу же начал сканировать через SpyHunter (он за 2 часа ничего не обнаружил), потом сканировал вирусы через mrt (3.30 часа - тоже ничего не нашел),потом полностью сканировал еще раз через встроенный антивирус Windows (в журнале угроз выдает куча вирусов, но когда захожу в полный журнал угроз - ничего уже нету), смотрел через Панель Управления/Программы и компоненты - никаких новых скаченных приложений не было,  смотрел так же в Диспетчере задач - так как у меня процессор Ryzen и нету видеокарты (а встроенное ядро) майнер по идее должен быть на видеокарте, но так нету её процессор занят на 3-10%. Так же искал сторонние приложения в вкладках Процессы,Автозагрузка,Подробности,Службы - посторонних програм не нашел. И самое главное никаких нагрузок и пролагов нету, все работало как и раньше, помогите пожалуйста решить проблему.

1.PNG

2.PNG

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

Если не возражаете, я продолжу.

 

Деинсталлируйте бесполезный SpyHunter4.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
    C:\Users\Миша\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKU\S-1-5-21-1860530400-3111590743-3981281768-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    S2 SpyHunter 4 Service; D:\Program Files\SpyHunter\SH4Service.exe [797352 2016-07-20] (Enigma Software Group USA, LLC -> Enigma Software Group USA, LLC.)
    S3 EsgScanner; C:\Windows\SysWOW64\DRIVERS\EsgScanner.sys [22704 2016-10-15] (Enigma Software Group USA, LLC -> )
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [842]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [842]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [842]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [842]
    AlternateDataStreams: C:\Users\Миша\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Миша\Application Data:NT2 [842]
    AlternateDataStreams: C:\Users\Миша\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Миша\AppData\Roaming:NT2 [842]
    AlternateDataStreams: C:\Users\Миша\AppData\Local\Temp:$DATA [16]
    FirewallRules: [{60033D25-1543-4C43-B371-609776D52948}] => (Allow) LPort=32682
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

@SandorПишет что угроз в карантине нету, но если зайти в Полный журнал - угрозы остались. А вот перезашел посмотреть - угрозы пропали, может интерфейс лагает?

2333.PNG

22222.PNG

@SandorВот что показывает: 

32323.PNG

Изменено пользователем Mishail
Ссылка на сообщение
Поделиться на другие сайты

Вот и хорошо.

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Skype, версия 8.72 v.8.72 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46112 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • hleb
      От hleb
      Как понял это обычный набор вирусов набранных из -за неосторожности.CollectionLog-2021.12.08-19.10.zip
    • Ahroh
      От Ahroh
      CollectionLog-2021.12.05-19.43.zip
      У меня на компьютере троян из-за того, что я скачал Adobe Acrobat с вирусного сайта. Он мне особо жить не мешал, до того момента как Windows Defender не заметил активность Trojan Miner. Я в основном пользуюсь браузером Opera GX, и как только я запускаю диспетчер задач мне пишет, что мой процессор нагружен на +- 60%, а потом через 1 секунд все пропадает и возвращается в норму. Помогите, пожалуйста.


    • Yonavi
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • vetal747
      От vetal747
      Добрый день!
      Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Script.Generic
      Объект: http://pgold.pro/code\1054.js
      Причина: Экспертный анализ
       
      CollectionLog-2021.11.26-09.55.zip
×
×
  • Создать...