Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml

[dmitrydmitry]

Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.

В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.

Анивируса стороннего у меня не стояло. 

Подскажите пожалуйста как или чем можно убрать данный троян.

Сделал логи (приклепляю)

CollectionLog-2021.11.22-20.22.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[dmitrydmitry]

FRST.rar Сделал

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {0a513a37-6ced-4e5b-9eae-14ce994061e3} - отсутствует путь к файлу
  Task: {10411102-929d-40c5-8d83-e8c157371704} - отсутствует путь к файлу
  Task: {24fdb815-fb05-4b2a-b639-1d2bb9574e1e} - отсутствует путь к файлу
  Task: {25d2e2ff-4863-42f9-8edb-ac607266d324} - отсутствует путь к файлу
  Task: {2bd2cfe6-138b-4d1b-852d-bb88f88180b8} - отсутствует путь к файлу
  Task: {2cd6cbe8-fc28-4c92-ac89-4d406c05c1d4} - отсутствует путь к файлу
  Task: {2f56518d-c87b-4b84-9945-70fbcd3146b9} - отсутствует путь к файлу
  Task: {3692fb7f-5228-480c-ad71-a6aa1558b88e} - отсутствует путь к файлу
  Task: {37e4b769-627e-4b31-ad93-0c2797c2d2fe} - отсутствует путь к файлу
  Task: {3c9b892e-f860-4da4-9de0-42cb7cb9af38} - отсутствует путь к файлу
  Task: {428d1316-1325-4f93-a815-f896c1db5b88} - отсутствует путь к файлу
  Task: {4e8d77fd-582f-4440-8981-95c2a75e2945} - отсутствует путь к файлу
  Task: {5d3f49d3-da60-4498-9ed4-ec794497fcee} - отсутствует путь к файлу
  Task: {61c764a2-e688-40d3-91e0-7dcfd8276523} - отсутствует путь к файлу
  Task: {6304360a-9d30-41d6-af57-f95e5099d47b} - отсутствует путь к файлу
  Task: {6789e9c1-f6bc-4582-9cd2-43030a63531b} - отсутствует путь к файлу
  Task: {69222801-0d2d-4d2b-90d0-a58d67718e4f} - отсутствует путь к файлу
  Task: {75e1e6fb-76e2-4e9e-ac60-fe034e49bd70} - отсутствует путь к файлу
  Task: {7d9c3974-f5a8-4af9-96cf-084a66604029} - отсутствует путь к файлу
  Task: {841ae7ad-a64c-47ea-b486-070da0d7b8d3} - отсутствует путь к файлу
  Task: {920a53d9-3ec3-4cba-833b-7354f41ecec2} - отсутствует путь к файлу
  Task: {9b695c15-182c-4126-a61e-7271ee7aa4d7} - отсутствует путь к файлу
  Task: {9cb211d9-b03b-4fe1-8b6c-424d9ad4208f} - отсутствует путь к файлу
  Task: {9ecb6ad8-63da-4176-9ce3-00149501fd59} - отсутствует путь к файлу
  Task: {ad488235-7894-4f8c-898b-7ad54d40b705} - отсутствует путь к файлу
  Task: {af5b413f-9ded-4283-a1e7-a99b6256dd37} - отсутствует путь к файлу
  Task: {b7d32053-8090-4d32-b104-fba1228ac999} - отсутствует путь к файлу
  Task: {ba892003-ca34-41a2-bafc-5327d1465cc2} - отсутствует путь к файлу
  Task: {be8efc68-e305-41b2-abc8-6e140bb68bb8} - отсутствует путь к файлу
  Task: {c30a190c-b727-4d08-b134-c861e8a73120} - отсутствует путь к файлу
  Task: {c4c374c2-fa4d-4c5f-8601-1b66f84a2180} - отсутствует путь к файлу
  Task: {cb7d5b0e-beb0-420a-8044-7bdd80940e01} - отсутствует путь к файлу
  Task: {d01673fa-97cf-4901-bb13-843c358bc387} - отсутствует путь к файлу
  Task: {d512a9de-1f88-4a48-b0ec-edee71b268a9} - отсутствует путь к файлу
  Task: {d8ce4e08-05e1-43f6-8cce-443773c0ca74} - отсутствует путь к файлу
  Task: {d9cdce43-d649-4d6f-b297-7877bbd4b3b4} - отсутствует путь к файлу
  Task: {df841bce-90c0-44bf-82c5-5731e398e7db} - отсутствует путь к файлу
  Task: {e0be9b08-c6f1-4803-aec8-286556e98eeb} - отсутствует путь к файлу
  Task: {e354fb56-5703-4e44-a2cb-2840baed8907} - отсутствует путь к файлу
  Task: {f19793fa-9e72-4e34-b7a6-53d76991fe24} - отсутствует путь к файлу
  Task: {f284ea15-8a05-4416-90ef-5aa3beeb19d6} - отсутствует путь к файлу
  Task: {fa16f4d9-7d8d-47f8-930f-acf6915160cc} - отсутствует путь к файлу
  Task: {fafc338c-3129-48ea-b699-a1d964ac41f6} - отсутствует путь к файлу
  Task: {fbbfab21-3aec-4967-acd9-faf134da54e7} - отсутствует путь к файлу
  ProxyServer: [S-1-5-21-2388967026-2170893197-641793823-1001] => 127.0.0.1:8080
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\hanev\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-2388967026-2170893197-641793823-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  AV: Norton Security (Disabled - Out of date) {A2708B76-6835-6565-CB96-694212954A75}
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMSwissArmy => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMSwissArmy => ""="Driver"
  FirewallRules: [{CD4BD524-9C3B-4233-94DA-46BFED05B0D1}] => (Allow) LPort=32682
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[dmitrydmitry]

20 минут назад, Sandor сказал:

 

Fixlog.txt  скрипт надо вставить в FRST или просто скопировать ?

[Sandor]

Вставлять никуда не нужно, вы правильно всё сделали.

Выполните сброс настроек браузера Опера.

 

Сообщите что с проблемой.

[dmitrydmitry]

сбросил оперу и хром 

[Sandor]

Ещё один скрипт выполните.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\Blackmagic Design\DaVinci Resolve\Resolve.exe
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Очистите журнал Защитника:

1. В строке поиска или в меню выполнить (Win+R) введите eventvwr и нажмите Enter.
2. Зайдите в “Журналы приложений и служб” => “Microsoft” => “Windows” => “Windows Defender” = > “Operational” = > нажмите на “Очистить журнал”.
3. Нажмите на “Очистить”.

[dmitrydmitry]

Fixlog.txt

Fixlog.txt еще раз, забыл антивирус выключить

[Sandor]

Если после очистки журнала изменений не будет, удалите старые и соберите новые логи FRST.txt и Addition.txt

[dmitrydmitry]

не произошло изменений в журнале,сделал новые логи

FRSTLOGS.rar

[Sandor]

Пробуем так:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  startpowershell:
  Set-MpPreference -ScanPurgeItemsAfterDelay 10
  endpowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[dmitrydmitry]

Fixlog.txt

может программы удалить ?

в исключениях данные папки

[Sandor]

Дата, когда была добавлена угроза там в интерфейсе видна?

По идее, через десять дней эти записи должны пропасть.

[dmitrydmitry]

даты нет(