[РЕШЕНО] Trojan:Script/Wacatac.B!ml и другие

[Lesikma]

Доброго времени суток!

 

Скачивала игры с непроверенных источников и поймала букет вирусов. Перечитала предыдущие темы, вижу что набор стандартный)

Вирусы находятся в списке разрешенных угроз и конечно же - не удаляются оттуда. Стоит доктор веб и периодически ругается на них.

Хотелось бы распрощаться с этими вирусами, буду благодарна за помощь 🙏

CollectionLog-2021.11.25-20.16.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\ProgramData\RobotDemo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{2b2c985c-2bc1-4406-b2be-978d2229fab4}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{2b2c985c-2bc1-4406-b2be-978d2229fab4}: [NameServer] = 37.1.207.126
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AF56727F-FB5C-4FA0-9676-6B055DC42468} (no key)
O22 - Task: The1AdblockerLogonUpdate - C:\Users\Administrator\AppData\Local\Programs\The1Adblocker\checkupd.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /NOCANCEL /NOICONS /CHROME=1

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Lesikma]

Всё сделала

Перед сбором логов отключаю антивирус и брандмауэр, после сбора обратно включаю

Я правильно делаю? Или это нужно делать только перед самым первым сбором логов?

CollectionLog-2021.11.26-11.09.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Lesikma]

FRST+Addition.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy-Firefox-x32: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> search-cdn.net
The1Adblocker 1.0.0.0 (HKLM-x32\...\{874916a8-0c9d-4848-8577-26347a06f4a9}) (Version: 1.0.0.0 - The1Adblocker) Hidden
MSCONFIG\Services: Transmission => 2
FirewallRules: [UDP Query User{4E3A70A7-968B-48D2-815D-8C36BF1FE4AA}C:\users\administrator\appdata\local\programs\opera\75.0.3969.218\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\75.0.3969.218\opera.exe => Нет файла
FirewallRules: [TCP Query User{FCC79DA7-B991-44EB-8950-26CA9F822FBC}C:\users\administrator\appdata\local\programs\opera\75.0.3969.218\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\75.0.3969.218\opera.exe => Нет файла
FirewallRules: [{13599293-943F-4861-86D8-EC53CFF8E94B}] => (Allow) C:\Users\Administrator\AppData\Local\Temp\7zS50D1\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{83D37759-B252-4D80-B6DE-8C802477014B}] => (Allow) C:\Users\Administrator\AppData\Local\Temp\7zS50D1\HPDiagnosticCoreUI.exe => Нет файла
FirewallRules: [{7FA84F93-76BD-4151-B2F6-972DE14110D4}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{AD123250-C9D0-4776-9536-9C01E0331D04}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{13B2AD2C-688B-491C-84B6-82807F654014}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{DB20BF16-6404-4826-B2FE-396F34B9EB19}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [UDP Query User{F6F3859E-315A-4A0F-B1AB-46D26F345589}D:\games\market tycoon v1.5.2\market tycoon.exe] => (Allow) D:\games\market tycoon v1.5.2\market tycoon.exe => Нет файла
FirewallRules: [TCP Query User{974C2927-7AD7-4833-A4C6-AB02F3568BB9}D:\games\market tycoon v1.5.2\market tycoon.exe] => (Allow) D:\games\market tycoon v1.5.2\market tycoon.exe => Нет файла
FirewallRules: [TCP Query User{951037B7-8DCE-4CE6-A9B4-7C5A507A3C72}D:\games\hobo tough life\hoborpg.exe] => (Block) D:\games\hobo tough life\hoborpg.exe => Нет файла
FirewallRules: [UDP Query User{AA7C77A9-D0D5-483E-936D-7C196E5C547C}D:\games\hobo tough life\hoborpg.exe] => (Block) D:\games\hobo tough life\hoborpg.exe => Нет файла
FirewallRules: [TCP Query User{9296974A-076B-4CDE-A126-1FBBA2290C51}C:\users\administrator\appdata\local\programs\opera\77.0.4054.203\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\77.0.4054.203\opera.exe => Нет файла
FirewallRules: [UDP Query User{FCAD3321-1790-49F4-B26E-206DCBD58BEE}C:\users\administrator\appdata\local\programs\opera\77.0.4054.203\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\77.0.4054.203\opera.exe => Нет файла
FirewallRules: [TCP Query User{280C6DEE-EE7C-4990-8849-BC38AF8E930B}C:\users\administrator\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [UDP Query User{9486090C-42A1-499A-AAD3-C33B3DBFD708}C:\users\administrator\appdata\local\programs\opera\77.0.4054.277\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\77.0.4054.277\opera.exe => Нет файла
FirewallRules: [TCP Query User{4CCEBE47-CC58-4E7D-B662-2EB9F3B49692}D:\games\ranch simulator\ranch_simulator\binaries\win64\ranch_simulator-win64-shipping.exe] => (Block) D:\games\ranch simulator\ranch_simulator\binaries\win64\ranch_simulator-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{A5B0FB55-FABD-43F5-99C4-DEAA5F192C36}D:\games\ranch simulator\ranch_simulator\binaries\win64\ranch_simulator-win64-shipping.exe] => (Block) D:\games\ranch simulator\ranch_simulator\binaries\win64\ranch_simulator-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{729D4ABE-DA4A-4FBE-AD34-FFC1F5D53B62}C:\users\administrator\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Allow) C:\users\administrator\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [UDP Query User{6342002D-7311-4C25-8A20-CE304E763983}C:\users\administrator\appdata\local\programs\opera\78.0.4093.147\opera.exe] => (Allow) C:\users\administrator\appdata\local\programs\opera\78.0.4093.147\opera.exe => Нет файла
FirewallRules: [TCP Query User{8229F26D-F198-472A-82B8-8268370C0CF0}C:\users\administrator\appdata\local\temp\rar$exa0.898\hotel magnate v0.7.4d\hotel magnate.exe] => (Block) C:\users\administrator\appdata\local\temp\rar$exa0.898\hotel magnate v0.7.4d\hotel magnate.exe => Нет файла
FirewallRules: [UDP Query User{72F2A994-C572-4705-89AF-EFFA46D2923D}C:\users\administrator\appdata\local\temp\rar$exa0.898\hotel magnate v0.7.4d\hotel magnate.exe] => (Block) C:\users\administrator\appdata\local\temp\rar$exa0.898\hotel magnate v0.7.4d\hotel magnate.exe => Нет файла
FirewallRules: [TCP Query User{1AB7B143-3F7B-4E0F-89A2-BDA31614D593}C:\users\administrator\appdata\local\temp\rar$exa0.123\breakwaters v0.1.59\breakwaters.exe] => (Block) C:\users\administrator\appdata\local\temp\rar$exa0.123\breakwaters v0.1.59\breakwaters.exe => Нет файла
FirewallRules: [UDP Query User{96A84AC3-A25E-4C95-9585-5953D958BFC3}C:\users\administrator\appdata\local\temp\rar$exa0.123\breakwaters v0.1.59\breakwaters.exe] => (Block) C:\users\administrator\appdata\local\temp\rar$exa0.123\breakwaters v0.1.59\breakwaters.exe => Нет файла
FirewallRules: [TCP Query User{78B5DA3D-264A-407C-8E62-ADF5D3E629D5}D:\games\breakwaters v0.1.59\breakwaters v0.1.59\breakwaters.exe] => (Block) D:\games\breakwaters v0.1.59\breakwaters v0.1.59\breakwaters.exe => Нет файла
FirewallRules: [UDP Query User{B7007F84-0EB5-40A8-9C11-A680F8EC6067}D:\games\breakwaters v0.1.59\breakwaters v0.1.59\breakwaters.exe] => (Block) D:\games\breakwaters v0.1.59\breakwaters v0.1.59\breakwaters.exe => Нет файла
FirewallRules: [TCP Query User{7E295773-AF49-4B16-9008-64B049F3DC7B}D:\games\settlement survival v0.82 fixed\settlement survival v0.82 fixed\settlement survival.exe] => (Block) D:\games\settlement survival v0.82 fixed\settlement survival v0.82 fixed\settlement survival.exe => Нет файла
FirewallRules: [UDP Query User{D1D33380-1599-4995-8953-C2C5AA3D9C70}D:\games\settlement survival v0.82 fixed\settlement survival v0.82 fixed\settlement survival.exe] => (Block) D:\games\settlement survival v0.82 fixed\settlement survival v0.82 fixed\settlement survival.exe => Нет файла
FirewallRules: [TCP Query User{62AAD3FB-FD87-4175-BFA0-2AAF28CFDAB2}D:\games\prison simulator prologue v1.0.3.4\prison simulator.exe] => (Block) D:\games\prison simulator prologue v1.0.3.4\prison simulator.exe => Нет файла
FirewallRules: [UDP Query User{ABE5825C-81AB-44A5-99A3-F755E930A1DE}D:\games\prison simulator prologue v1.0.3.4\prison simulator.exe] => (Block) D:\games\prison simulator prologue v1.0.3.4\prison simulator.exe => Нет файла
FirewallRules: [TCP Query User{C3B248F6-F897-4725-B5D9-94B979AF0827}C:\users\administrator\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [UDP Query User{D18F7981-5C9C-4335-9E57-654EC7587779}C:\users\administrator\appdata\local\programs\opera\78.0.4093.184\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\78.0.4093.184\opera.exe => Нет файла
FirewallRules: [TCP Query User{4B2CAEAB-2603-4157-AC58-E73F2CE146E1}D:\games\sheltered 2\sheltered2.exe] => (Block) D:\games\sheltered 2\sheltered2.exe => Нет файла
FirewallRules: [UDP Query User{B81E1432-CDC2-41D1-8C01-CA227AB2CCB2}D:\games\sheltered 2\sheltered2.exe] => (Block) D:\games\sheltered 2\sheltered2.exe => Нет файла
FirewallRules: [TCP Query User{7722FA7E-B64A-401D-B687-3C437B5FD9D0}C:\users\administrator\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [UDP Query User{DF695789-E7D0-4614-9B6D-E22016AAE5DD}C:\users\administrator\appdata\local\programs\opera\78.0.4093.231\opera.exe] => (Block) C:\users\administrator\appdata\local\programs\opera\78.0.4093.231\opera.exe => Нет файла
FirewallRules: [TCP Query User{0AEEF2C0-9458-4E21-A2DE-524B03521A89}C:\games2\breakwaters v0.1.69\breakwaters v0.1.69\breakwaters.exe] => (Allow) C:\games2\breakwaters v0.1.69\breakwaters v0.1.69\breakwaters.exe => Нет файла
FirewallRules: [UDP Query User{6E1F38DD-9367-4785-8A79-6EB73B0CBDB6}C:\games2\breakwaters v0.1.69\breakwaters v0.1.69\breakwaters.exe] => (Allow) C:\games2\breakwaters v0.1.69\breakwaters v0.1.69\breakwaters.exe => Нет файла
FirewallRules: [TCP Query User{5001C07B-F674-4DCA-AAF1-D17FFFDCCE2B}C:\users\administrator\appdata\local\temp\rar$exa0.790\force of nature 2 v1.0.21\forceofnature.exe] => (Block) C:\users\administrator\appdata\local\temp\rar$exa0.790\force of nature 2 v1.0.21\forceofnature.exe => Нет файла
FirewallRules: [UDP Query User{9C313A61-81FE-4B5A-BB8A-E82E58615C8B}C:\users\administrator\appdata\local\temp\rar$exa0.790\force of nature 2 v1.0.21\forceofnature.exe] => (Block) C:\users\administrator\appdata\local\temp\rar$exa0.790\force of nature 2 v1.0.21\forceofnature.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Lesikma]

Fixlog.txt

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
 

Start::
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows Defender\Scans\History
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Проблема решена?

[Lesikma]

Список разрешенных угроз чистый

Удалилась куча мусора, освободилась память

Вы просто волшебник! 🤩

Спасибо огромное!

Fixlog.txt

Можно всё удалять или что с ними делать?)

Adblocker, сборщик логов, FRST ?

Изменено 27 ноября, 2021 пользователем Lesikma

[thyrex]

Цитата

The1Adblocker 1.0.0.0

удалите через Установку программ.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Lesikma]

The1Adblocker 1.0.0.0 как удалить?

Захожу в панель управления - программы и компоненты, правой кнопкой кликаю и нет кнопки удалить...

SecurityCheck.txt

[thyrex]

56 минут назад, Lesikma сказал:

The1Adblocker 1.0.0.0 как удалить?

воспользуйтесь Geek Uninstaller

 

Цитата

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer 13 v.13.2.36218 Внимание! Скачать обновления
OpenOffice 4.1.0 v.4.10.9764 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.8.4.0.5 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Razer Cortex v.9.17.6.1483 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

это тоже исправляйте, и на этом закончим
 

[Lesikma]

The1Adblocker удалила

TeamViewer не обновляла (для работы нужна именно 13 версия)

OpenOffice не получилось обновить, не дает скачать. Догадываюсь, что проблема в том, что я в Крыму, действуют санкции

WinRAR обновила

Viber обновила

Razer Cortex удалила

Через Malwarebytes просканила, нашло еще вирусы🙄🙄

Что с ними делать?

Malware.txt

[thyrex]

Все, кроме

Цитата

PUP.Optional.BundleInstaller, C:\USERS\ADMINISTRATOR\DOWNLOADS\UTORRENT.EXE, Проигнорировано пользователем, 514, 875791, 1.0.47774, , ame, , 049740CEA4295FAE973E4A963879C967, AFC5486F00C13EED546648CBE1EBF5D586C4560B6D47D93900A4FA41BB455FF3
PUP.Optional.Ammyy, C:\USERS\ADMINISTRATOR\DESKTOP\что-то\AA_V3.EXE, Проигнорировано пользователем, 7731, 986424, 1.0.47774, , ame, , E9B569F7CBF23D91DF065C18F4C43840, D67C7EF1C8E2CD56E266902BEF814AC328D64BBE06086F4EE24FBADBEBF39605
PUP.Optional.BundleInstaller, C:\USERS\ADMINISTRATOR\DOWNLOADS\MARKET_TYCOON_V1.5.2\MARKET_TYCOON_V1.5.2_SETUP.EXE, Проигнорировано пользователем, 514, 892548, 1.0.47774, , ame, , A88DBC95E32FD99D11B68DE295A4D9E6, D7FB90011B21219D198BD78FBE80CBEEF9B282B3D08ACA6A6DA8900A4A3AE83F
PUP.Optional.MailRu, C:\USERS\ADMINISTRATOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, 252, 454830, 1.0.47774, , ame, , D981D9842EF67FBCAB5D120DB1905E3E, 7631A3FC2A31986D1DC5CC60010D70E40326AADE0D989D39F1C64EAC93A1394E
PUP.Optional.MailRu, C:\USERS\ADMINISTRATOR\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\Default\Web Data, Проигнорировано пользователем, 252, 454830, 1.0.47774, , ame, , C8557A7FE476ABC297E2E549FB4D5F35, AB946083F1DD9CB9FFF2A523D285304301F313848316F139310DEADE6DF19126

можете удалить
 

[Lesikma]

Сделала

Также удалила программы для сбора логов

Malwarebytes и Geek Uninstaller оставлю. Интересные програмки, может пригодятся еще

 

Еще раз большое спасибо за помощь!