Trojan:Script/Wacatac.B!ml, Trojan:Win32/Casur.A!cl и его друзья

[Revilandeo]

В общем, после попыток вскрытия .pkg файлов, слизанных с PS4, у меня образовалось вот это, стандартный набор, которого ещё вчера не было. Всё, что было установлено за последние дня 3 кануло в небытие, но проблема осталась и у меня нет понятия о том, за что браться.

HEREISLOOOGS.zip

[Sandor]

Здравствуйте!

 

Начните с логов по правилам раздела - Порядок оформления запроса о помощи

[Revilandeo]

20 минут назад, Sandor сказал:

Здравствуйте!

 

Начните с логов по правилам раздела - Порядок оформления запроса о помощи

 

CollectionLog-2021.12.15-12.27.zip

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {07E5DED5-4413-4FA3-8CC1-B1E5F92991AD} - System32\Tasks\zSVmbbVCcrvvGhIqL2 => rundll32 "C:\Program Files (x86)\aulcORpfkODCOrosEER\hZqABMe.dll",#1
  Task: {4F009387-A1D3-4D1C-8830-604ED513A3B0} - System32\Tasks\KOYcIpqRpHITCStBxaT2 => rundll32 "C:\Program Files (x86)\OTrodvLHKvgrC\ixRAduG.dll",#1
  Task: {768D4BB9-1F72-4ABD-B157-4004135F47AA} - System32\Tasks\IRrOZPmhKvKZZ2 => C:\Windows\system32\wscript.exe "C:\ProgramData\SANVRapsuCRPCxVB\RYMEDLw.wsf"
  Task: {A39CCD1F-BE69-4906-A683-8BA667867249} - System32\Tasks\GYDcpTjnAoAJUu => rundll32 "C:\Program Files (x86)\hzZdhwniUlKU2\FcJPXrQCeepaq.dll",#1
  Task: {C24CC558-E79A-4FAE-B51F-D655BDD2149C} - System32\Tasks\HgxOOOhyXQZAEnu2 => rundll32 "C:\Program Files (x86)\WDRwIKtbU\cPrCea.dll",#1
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Revilandeo\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003356 _____ C:\Windows\system32\Tasks\GYDcpTjnAoAJUu
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003044 _____ C:\Windows\system32\Tasks\IRrOZPmhKvKZZ2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003034 _____ C:\Windows\system32\Tasks\zSVmbbVCcrvvGhIqL2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003026 _____ C:\Windows\system32\Tasks\KOYcIpqRpHITCStBxaT2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003008 _____ C:\Windows\system32\Tasks\HgxOOOhyXQZAEnu2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000000000 ____D C:\ProgramData\SANVRapsuCRPCxVB
  2021-12-15 10:20 - 2021-12-15 11:08 - 000000000 ____D C:\Users\Revilandeo\AppData\Roaming\toc
  FirewallRules: [{C5C349CA-F680-4C35-9B66-A5ED7FF12FE6}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣畖夲⹁硥e => Нет файла
  FirewallRules: [{1864318F-C971-42E0-AC19-BD434348082C}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{16239FE7-DC1B-4C6E-89F5-1FD7CB4E4E51}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{5AC5EF3A-1C12-4712-9998-757C61AE7EF0}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣扵娸攮數 => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Revilandeo]

8 минут назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {07E5DED5-4413-4FA3-8CC1-B1E5F92991AD} - System32\Tasks\zSVmbbVCcrvvGhIqL2 => rundll32 "C:\Program Files (x86)\aulcORpfkODCOrosEER\hZqABMe.dll",#1
  Task: {4F009387-A1D3-4D1C-8830-604ED513A3B0} - System32\Tasks\KOYcIpqRpHITCStBxaT2 => rundll32 "C:\Program Files (x86)\OTrodvLHKvgrC\ixRAduG.dll",#1
  Task: {768D4BB9-1F72-4ABD-B157-4004135F47AA} - System32\Tasks\IRrOZPmhKvKZZ2 => C:\Windows\system32\wscript.exe "C:\ProgramData\SANVRapsuCRPCxVB\RYMEDLw.wsf"
  Task: {A39CCD1F-BE69-4906-A683-8BA667867249} - System32\Tasks\GYDcpTjnAoAJUu => rundll32 "C:\Program Files (x86)\hzZdhwniUlKU2\FcJPXrQCeepaq.dll",#1
  Task: {C24CC558-E79A-4FAE-B51F-D655BDD2149C} - System32\Tasks\HgxOOOhyXQZAEnu2 => rundll32 "C:\Program Files (x86)\WDRwIKtbU\cPrCea.dll",#1
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Revilandeo\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003356 _____ C:\Windows\system32\Tasks\GYDcpTjnAoAJUu
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003044 _____ C:\Windows\system32\Tasks\IRrOZPmhKvKZZ2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003034 _____ C:\Windows\system32\Tasks\zSVmbbVCcrvvGhIqL2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003026 _____ C:\Windows\system32\Tasks\KOYcIpqRpHITCStBxaT2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000003008 _____ C:\Windows\system32\Tasks\HgxOOOhyXQZAEnu2
  2021-12-15 10:21 - 2021-12-15 10:21 - 000000000 ____D C:\ProgramData\SANVRapsuCRPCxVB
  2021-12-15 10:20 - 2021-12-15 11:08 - 000000000 ____D C:\Users\Revilandeo\AppData\Roaming\toc
  FirewallRules: [{C5C349CA-F680-4C35-9B66-A5ED7FF12FE6}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣畖夲⹁硥e => Нет файла
  FirewallRules: [{1864318F-C971-42E0-AC19-BD434348082C}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{16239FE7-DC1B-4C6E-89F5-1FD7CB4E4E51}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{5AC5EF3A-1C12-4712-9998-757C61AE7EF0}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣扵娸攮數 => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Вот он.

Fixlog.txt

[Sandor]

Не нужно полностью цитировать предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

Дополнительно:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Revilandeo]

Вот. Мне даже как-то стыдно от того, что там написано...

Result.txt

[Sandor]

Удалить (поместить в карантин) можете только это:

Backdoor.Agent.E, C:\USERS\REVILANDEO\APPDATA\ROAMING\KLOGS\2021.12.11, Проигнорировано пользователем, 3710, 632865, 1.0.48632, , ame, , 0AD4590224583FEB66853544BBA437B6, 114AE2BE1CACD48B62962ABF935B2C0842232B4B007A71D3843485DA8A4F27C8
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\CROSSOUT.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 697810816712B19EC9682D897A77A2F7, 7DDF0A3C58C8B668F02C16F86EA8A315D4034AC1AF8BF3AAE4A95EB3C1A4F989
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WORLD OF WARSHIPS.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , A38635D0FB401DED639974FCCC267841, B984A081E70A6C248A0F9BE07F7EA451285F43E131DB69EC80D26618307C3B2F
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CROSSOUT.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 40E52DB36E414D03FE673776A30D979E, B569018A69716719000853A6C9B467307151543B980F3ACF4EA878F935082FBC
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WORLD OF TANKS.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 2DBBDDFFC37D69C9166C7EC95858F580, 4C46D672A84D816DDEA8611ABE90DFDCB3E73C6034C2612821D148648D21C2D5
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WAR THUNDER.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 5E632C35797364A69169E2BC3B6B4EF7, 99AA06E971C6D165CFCF3CBAB458F6D7151B0E92D783C81B89115D904FC5B0BE
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WAR THUNDER.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 82F320486C0FA9CCC2C6F70DAF4C3C96, 99072CC711A653FDFAC929C6A7478AC91E5ED41855BC33F02820A71C8A02EA1F

 

Остальное - ложное срабатывание.

 

Сообщите что с проблемой.

[Revilandeo]

Сделано как сказали - Картинка так же.

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[Revilandeo]

Сбор закончен, милорд.zip

[Sandor]

Такой скрипт выполните.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  closeprocesses:
  Comment: clear out old detection history microsoft defender
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Revilandeo]

Fixlog.txt

[Sandor]

Записи обнаружения Защитника пропали?

[Revilandeo]

Защитник слеп на оба глаза, он говорит, что троянов нет... В разрешениях всё те же лица. Malwarebytes блокирует исходящее подключение третий раз.

 

Старой истории вроде нет, осталось лишь то, что было сегодня.