Sabsik & Wacatac

[СергейC]

Доброго времени суток!

Все шло хорошо и ничего не предвещало беды пока мне не понадобилось выложить несколько файлов на свежий Windows-сервер. И тут он раз - и стал мои файлы удалять, троян там, говорит. Пытался загружать на вирустотал - показывает из всей уймы систем антивирусных срабатывают 2-3-4 штуки. Пробовал сканировать MS safety scaner (ну и поделка!), McAfee, Malwarebytes и еще какой-то экзотикой - никто ничего не находит. Но зараза есть, причем активная - я пробовал загрузить на вирустотал свежескомпилированные ехе из VisualStudio и Delphi - показывает на них то же самое, что есть трояны.

Помогите, пожалуйста, кто сталкивался с такой бедой.

ЗЫ: Не могу никак найти, как вложить файлы с результатом сканирования, попробую после сохранения

[Soft]

Выполните «Порядок оформления запроса о помощи».

[СергейC]

Оказывается, без учетной записи сообщение на форум написать можно, а вложение к нему прикрепить - уже нет.

CollectionLog-2021.12.13-19.03.zip

[Sandor]

Здравствуйте!

 

15 часов назад, СергейC сказал:

Пробовал сканировать MS safety scaner (ну и поделка!), McAfee, Malwarebytes

Если сохранились отчёты, прикрепите их к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[СергейC]

Отчет FRST прикреплен, я его сделал одновременно с AVZ в надежде что-нибудь там увидеть, но не увидел))

Отчеты не сохранились. McAfee и все остальные просто ничего не нашли, а убогая и кривая поделка от MS хоть и сказала, что нашла 40 с чем-то файлов, в логе показала только три файла, причем все кейгены, а не трояны. Лог этот я расстроился и удалил. Еще раз выполнить сканирование можно, но очень не хочется, поскольку работало оно где-то сутки.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-4256097950-2540605602-2437126090-1002\...\MountPoints2: {20adcc68-ea71-11e2-b50d-dca9710ae31b} - G:\autorun.exe
  HKU\S-1-5-21-4256097950-2540605602-2437126090-1002\...\MountPoints2: {419c6230-8104-11e2-97dc-dca9710ae31b} - G:\autorun.exe
  HKU\S-1-5-21-4256097950-2540605602-2437126090-1002\...\MountPoints2: {419c6232-8104-11e2-97dc-dca9710ae31b} - G:\autorun.exe
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Test\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Сережа\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {136A93FD-CE87-4BE5-A84E-5059037CA325} - \Uninstaller_SkipUac_Сережа -> Нет файла <==== ВНИМАНИЕ
  Task: {51CB484D-E1AB-4AB9-9A3D-2F99209A608A} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe (Нет файла)
  Task: {937FBEF7-EC64-4FEF-9641-91D7DC2D1D6A} - \{91DFDEBA-E976-434E-BD56-B7323ED5DBCC} -> Нет файла <==== ВНИМАНИЕ
  Task: {D1A0D066-13C0-4F59-B44E-60047ED0FBF0} - \{8D1EE48A-2DAA-454A-AF55-DB19E9401207} -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  FF NetworkProxy: Mozilla\Firefox\Profiles\b55agfwi.default -> type", 0
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\ProgramData\Temp:1FB1CEE3 [152]
  AlternateDataStreams: C:\Users\Сережа\Application Data:1 [148]
  AlternateDataStreams: C:\Users\Сережа\Local Settings:String [148]
  AlternateDataStreams: C:\Users\Сережа\AppData\Local:String [148]
  AlternateDataStreams: C:\Users\Сережа\AppData\Roaming:1 [148]
  AlternateDataStreams: C:\Users\Сережа\AppData\Local\Application Data:String [148]
  HKU\S-1-5-21-4256097950-2540605602-2437126090-1010\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvArwpJhOtRZjZgcYxLHgjpD3nDQnrsLSpxCb7_atsh3FgfZPmeTQHUm1MR5wkh_wK5RoypgmoafQ6mrC2D94r5WldC1QMEfGweT698MKQlu536S0GizzC_TZa2tpOVTzYQtaVQ8cp3XzfU5BSOfpIn78ZKb6&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-4256097950-2540605602-2437126090-1010 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvArwpJhOtRZjZgcYxLHgjpD3nDQnrsLSpxCb7_atsh3FgfZPmeTQHUm1MR5wkh_wK5RoypgmoafQ6mrC2D94r5WldC1QMEfGweT698MKQlu536S0GizzC_TZa2tpOVTzYQtaVQ8cp3XzfU5BSOfpIn78ZKb6&q={searchTerms}
  SearchScopes: HKU\S-1-5-21-4256097950-2540605602-2437126090-1010 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGIjVkxlyIP4NYe17aVLWucbjwj6mzzJCvArwpJhOtRZjZgcYxLHgjpD3nDQnrsLSpxCb7_atsh3FgfZPmeTQHUm1MR5wkh_wK5RoypgmoafQ6mrC2D94r5WldC1QMEfGweT698MKQlu536S0GizzC_TZa2tpOVTzYQtaVQ8cp3XzfU5BSOfpIn78ZKb6&q={searchTerms}
  BHO-x32: Нет имени -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> Нет файла
  Toolbar: HKU\S-1-5-21-4256097950-2540605602-2437126090-1002 -> Нет имени - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Нет файла
  Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -  Нет файла
  FirewallRules: [{A60F5983-AD08-4E6D-BE16-9558A6C2AC3E}] => (Allow) LPort=2869
  FirewallRules: [{61DC8670-CE43-46E1-BA8E-0925B2FAE571}] => (Allow) LPort=1900
  FirewallRules: [{14D0B41A-CAA1-47F9-9BD8-243D4DDBBFF0}] => (Allow) LPort=4500
  FirewallRules: [{700DB0B5-3F3B-470A-B645-8F47FF9A5E9D}] => (Allow) LPort=500
  FirewallRules: [{33FFC4AD-D85B-41B3-94E1-AAA17498318E}] => (Allow) LPort=135
  FirewallRules: [{5200DF6A-DFA1-491B-A449-EF32EAE87F8B}] => (Allow) C:\Users\Сережа\AppData\Local\Amigo\Application\amigo.exe => Нет файла
  FirewallRules: [{542374D7-5411-40C8-B7EB-A3BFC50F6214}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{C2E29CCB-3C14-4A76-B67C-C70555F37841}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{91EC4903-16F5-481F-BA75-8070AD4F31FA}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{0AC75E65-C0DA-4B33-84C9-0D11FA59DE1E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{798E8723-6810-467D-9981-596267250E9E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  FirewallRules: [{38B85D1A-0CF9-4036-8088-06599E1B98F2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[СергейC]

Вот лог.

Fixlog.txt

Чуда не произошло... Консольное приложение, которое печатает "Hello, world", определилось на virustotal как

BitDefenderTheta Gen:NN.ZelphiF.34084.jSW@aKjFTbhi

MaxSecure Trojan.Malware.300983.susgen

McAfee-GW-Edition BehavesLike.Win32.Wabot.ch

SecureAge APEX Malicious

VBA32 TScope.Trojan.Delf

Изменено 14 декабря, 2021 пользователем СергейC

[Sandor]

Мы тут волшебством и не занимались

По сути была очистка мусора.

 

2 часа назад, СергейC сказал:

определилось на virustotal как

Так у них срабатывает эвристика, значит. Нужно писать о ложном срабатывании.

[СергейC]

Полной уверенности нет, но скорее всего это не ложное срабатывание, поскольку то же самое "hello world", но скомпилированное на другом компьютере, срабатываний ни у кого не вызывает...

 

[Sandor]

Давайте ещё посмотрим лог MBAM, если уже его удалили:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[СергейC]

ничего не нашло

 

malwarebytes.log

[Sandor]

Посоветуйтесь ещё в соседнем разделе. Ссылку на эту тему там укажите.