[РЕШЕНО] Трояны Trojan:script/Wacatac.B!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!m и тд

[hleb 0]

Как понял это обычный набор вирусов набранных из -за неосторожности.CollectionLog-2021.12.08-19.10.zip

[Sandor 1034]

Здравствуйте!

 

Из перечня установленных программ удалите

Цитата

YoutubeDownloader

Если не даст стандартно, удалите принудительно через Geek Uninstaller

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-daemon.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-daemon.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[hleb 0]

CollectionLog-2021.12.12-15.28.zip Прошу прощения из-за долгого молчания, не было доступа к устройству.

[Sandor 1034]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[hleb 0]

Addition.txtFRST.txt

[Sandor 1034]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\umbrella.cfg [2019-11-29] <==== ВНИМАНИЕ
  U4 mhyprot2; C:\Users\Vlad\AppData\Local\Temp\mhyprot2.sys [1349408 2021-08-24] (miHoYo Co.,Ltd. -> ) <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]
  URLSearchHook: HKU\S-1-5-21-2359903440-3101810746-2719524392-1001 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
  FirewallRules: [{265282D9-F2DB-48A2-97DC-5AB457B599EC}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe => Нет файла
  FirewallRules: [{13970DC0-4515-4B8B-AB01-E56309F88AF4}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe => Нет файла
  FirewallRules: [{289F5058-752B-4307-BDE2-E4422FE65346}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe => Нет файла
  FirewallRules: [{A1E2BD02-AFE6-478F-B53B-B789665DD9A8}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe => Нет файла
  FirewallRules: [{01103D0C-A34B-4831-B509-C9F178FF8F1B}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe => Нет файла
  FirewallRules: [{FA3D0E21-98C8-4885-A905-517B516064D6}] => (Allow) C:\Program Files (x86)\Transmission\transmission-daemon.exe => Нет файла
  FirewallRules: [{6A7FC2D7-E893-4418-868F-1C5782C10E35}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe => Нет файла
  FirewallRules: [{82796984-0FFC-451E-A98A-133C3456486C}] => (Allow) C:\Program Files (x86)\Transmission\transmission-qt.exe => Нет файла
  FirewallRules: [{9405ECA4-10F2-46C3-A62B-C059510F8FFE}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => Нет файла
  FirewallRules: [{9EC671A9-5BA2-474E-9229-87F644660E22}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => Нет файла
  FirewallRules: [{BFB34B8B-29E6-4EFE-9903-F9465EDD2042}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => Нет файла
  FirewallRules: [{0E6748CE-F0AE-41DC-9430-F4F8C0E4107A}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => Нет файла
  FirewallRules: [UDP Query User{2955A267-99E3-410D-9D33-42971AD798A9}C:\users\vlad\mediaget2\mediaget.exe] => (Block) C:\users\vlad\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [TCP Query User{FF9DDF79-3F02-46E9-8A11-B251E51ED4AB}C:\users\vlad\mediaget2\mediaget.exe] => (Block) C:\users\vlad\mediaget2\mediaget.exe => Нет файла
  FirewallRules: [{34A1D168-741A-4BDD-991D-22AF5590AD06}] => (Allow) C:\Users\Vlad\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{57115517-8D7E-4B48-9FAA-62A16ABC5CF7}] => (Allow) C:\Users\Vlad\AppData\Local\MediaGet2\mediaget.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

AdShield 1.0.0.0

Wondershare Helper Compact 2.6.0

Кнопка "Яндекс" на панели задач

 

 

Программу Transmission version 3.00.0 ставили самостоятельно? Если нет, тоже удалите.

 

На системном диске маловато свободного места:

Цитата

(Total:229.65 GB) (Free:15.68 GB)

 

[hleb 0]

Fixlog.txt Перезагрузил. В угрозах ничего нет.

13 минут назад, Sandor сказал:

Программу Transmission version 3.00.0 ставили самостоятельно? Если нет, тоже удалите.

Вроде ею пользуется программа qBittorrent, если нет, то удалю.

[Sandor 1034]

Это торрент-клиент для MAC-ов. Спрашиваю потому, что сейчас распространен майнер, использующий эту вполне легальную программу.

 

Если проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[hleb 0]

SecurityCheck.txt

[Sandor 1034]

Удалите её принудительно через Geek Uninstaller

 

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.4.10.144 v.4.4.10.144 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.5 Внимание! Скачать обновления
TeamViewer v.15.17.7 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.8.4200 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.80 (32-разрядная) v.5.80.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.22 v.2.10.22 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2039.9 Внимание! Скачать обновления
Zoom v.5.4.9 (59931.0110) Внимание! Скачать обновления
Skype, версия 8.68 v.8.68 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.2.5 v.4.2.5 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.8 Внимание! Скачать обновления
Spotify v.1.1.68.632.g2b11de83 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.94.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
AdShield 1.0.0.0 v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Я ведь и раньше указал на удаление нежелательных программ (раздел UnwantedApps).

[hleb 0]

Удалил всё что посоветовали, обновлю нужные и удалю ненужные программы. Огромное спасибо за помощь!

[Sandor 1034]

Читайте Рекомендации после удаления вредоносного ПО

[Sandor 1034]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".