Перейти к содержанию

Trojan:Script/Wacatac.B!ml, Trojan:Win32/Casur.A!cl и его друзья


Рекомендуемые сообщения

В общем, после попыток вскрытия .pkg файлов, слизанных с PS4, у меня образовалось вот это, стандартный набор, которого ещё вчера не было. Всё, что было установлено за последние дня 3 кануло в небытие, но проблема осталась и у меня нет понятия о том, за что браться.

Screenshot_1.png

HEREISLOOOGS.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Начните с логов по правилам раздела - Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
20 минут назад, Sandor сказал:

Здравствуйте!

 

Начните с логов по правилам раздела - Порядок оформления запроса о помощи

 

CollectionLog-2021.12.15-12.27.zip

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {07E5DED5-4413-4FA3-8CC1-B1E5F92991AD} - System32\Tasks\zSVmbbVCcrvvGhIqL2 => rundll32 "C:\Program Files (x86)\aulcORpfkODCOrosEER\hZqABMe.dll",#1
    Task: {4F009387-A1D3-4D1C-8830-604ED513A3B0} - System32\Tasks\KOYcIpqRpHITCStBxaT2 => rundll32 "C:\Program Files (x86)\OTrodvLHKvgrC\ixRAduG.dll",#1
    Task: {768D4BB9-1F72-4ABD-B157-4004135F47AA} - System32\Tasks\IRrOZPmhKvKZZ2 => C:\Windows\system32\wscript.exe "C:\ProgramData\SANVRapsuCRPCxVB\RYMEDLw.wsf"
    Task: {A39CCD1F-BE69-4906-A683-8BA667867249} - System32\Tasks\GYDcpTjnAoAJUu => rundll32 "C:\Program Files (x86)\hzZdhwniUlKU2\FcJPXrQCeepaq.dll",#1
    Task: {C24CC558-E79A-4FAE-B51F-D655BDD2149C} - System32\Tasks\HgxOOOhyXQZAEnu2 => rundll32 "C:\Program Files (x86)\WDRwIKtbU\cPrCea.dll",#1
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Revilandeo\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003356 _____ C:\Windows\system32\Tasks\GYDcpTjnAoAJUu
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003044 _____ C:\Windows\system32\Tasks\IRrOZPmhKvKZZ2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003034 _____ C:\Windows\system32\Tasks\zSVmbbVCcrvvGhIqL2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003026 _____ C:\Windows\system32\Tasks\KOYcIpqRpHITCStBxaT2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003008 _____ C:\Windows\system32\Tasks\HgxOOOhyXQZAEnu2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000000000 ____D C:\ProgramData\SANVRapsuCRPCxVB
    2021-12-15 10:20 - 2021-12-15 11:08 - 000000000 ____D C:\Users\Revilandeo\AppData\Roaming\toc
    FirewallRules: [{C5C349CA-F680-4C35-9B66-A5ED7FF12FE6}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣畖夲⹁硥e => Нет файла
    FirewallRules: [{1864318F-C971-42E0-AC19-BD434348082C}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
    FirewallRules: [{16239FE7-DC1B-4C6E-89F5-1FD7CB4E4E51}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
    FirewallRules: [{5AC5EF3A-1C12-4712-9998-757C61AE7EF0}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣扵娸攮數 => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    
    
    
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {07E5DED5-4413-4FA3-8CC1-B1E5F92991AD} - System32\Tasks\zSVmbbVCcrvvGhIqL2 => rundll32 "C:\Program Files (x86)\aulcORpfkODCOrosEER\hZqABMe.dll",#1
    Task: {4F009387-A1D3-4D1C-8830-604ED513A3B0} - System32\Tasks\KOYcIpqRpHITCStBxaT2 => rundll32 "C:\Program Files (x86)\OTrodvLHKvgrC\ixRAduG.dll",#1
    Task: {768D4BB9-1F72-4ABD-B157-4004135F47AA} - System32\Tasks\IRrOZPmhKvKZZ2 => C:\Windows\system32\wscript.exe "C:\ProgramData\SANVRapsuCRPCxVB\RYMEDLw.wsf"
    Task: {A39CCD1F-BE69-4906-A683-8BA667867249} - System32\Tasks\GYDcpTjnAoAJUu => rundll32 "C:\Program Files (x86)\hzZdhwniUlKU2\FcJPXrQCeepaq.dll",#1
    Task: {C24CC558-E79A-4FAE-B51F-D655BDD2149C} - System32\Tasks\HgxOOOhyXQZAEnu2 => rundll32 "C:\Program Files (x86)\WDRwIKtbU\cPrCea.dll",#1
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Revilandeo\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003356 _____ C:\Windows\system32\Tasks\GYDcpTjnAoAJUu
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003044 _____ C:\Windows\system32\Tasks\IRrOZPmhKvKZZ2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003034 _____ C:\Windows\system32\Tasks\zSVmbbVCcrvvGhIqL2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003026 _____ C:\Windows\system32\Tasks\KOYcIpqRpHITCStBxaT2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000003008 _____ C:\Windows\system32\Tasks\HgxOOOhyXQZAEnu2
    2021-12-15 10:21 - 2021-12-15 10:21 - 000000000 ____D C:\ProgramData\SANVRapsuCRPCxVB
    2021-12-15 10:20 - 2021-12-15 11:08 - 000000000 ____D C:\Users\Revilandeo\AppData\Roaming\toc
    FirewallRules: [{C5C349CA-F680-4C35-9B66-A5ED7FF12FE6}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣畖夲⹁硥e => Нет файла
    FirewallRules: [{1864318F-C971-42E0-AC19-BD434348082C}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
    FirewallRules: [{16239FE7-DC1B-4C6E-89F5-1FD7CB4E4E51}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
    FirewallRules: [{5AC5EF3A-1C12-4712-9998-757C61AE7EF0}] => (Allow) 㩃啜敳獲剜癥汩湡敤屯灁䑰瑡屡潒浡湩屧潴屣扵娸攮數 => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Вот он.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Не нужно полностью цитировать предыдущее сообщение. Используйте форму быстрого ответа внизу.

 

Дополнительно:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Удалить (поместить в карантин) можете только это:

Backdoor.Agent.E, C:\USERS\REVILANDEO\APPDATA\ROAMING\KLOGS\2021.12.11, Проигнорировано пользователем, 3710, 632865, 1.0.48632, , ame, , 0AD4590224583FEB66853544BBA437B6, 114AE2BE1CACD48B62962ABF935B2C0842232B4B007A71D3843485DA8A4F27C8
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\CROSSOUT.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 697810816712B19EC9682D897A77A2F7, 7DDF0A3C58C8B668F02C16F86EA8A315D4034AC1AF8BF3AAE4A95EB3C1A4F989
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WORLD OF WARSHIPS.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , A38635D0FB401DED639974FCCC267841, B984A081E70A6C248A0F9BE07F7EA451285F43E131DB69EC80D26618307C3B2F
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CROSSOUT.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 40E52DB36E414D03FE673776A30D979E, B569018A69716719000853A6C9B467307151543B980F3ACF4EA878F935082FBC
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WORLD OF TANKS.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 2DBBDDFFC37D69C9166C7EC95858F580, 4C46D672A84D816DDEA8611ABE90DFDCB3E73C6034C2612821D148648D21C2D5
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\WAR THUNDER.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 5E632C35797364A69169E2BC3B6B4EF7, 99AA06E971C6D165CFCF3CBAB458F6D7151B0E92D783C81B89115D904FC5B0BE
Trojan.WMIHijacker, C:\USERS\REVILANDEO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\WAR THUNDER.LNK, Проигнорировано пользователем, 12380, 514947, 1.0.48632, , ame, , 82F320486C0FA9CCC2C6F70DAF4C3C96, 99072CC711A653FDFAC929C6A7478AC91E5ED41855BC33F02820A71C8A02EA1F

 

Остальное - ложное срабатывание.

 

Сообщите что с проблемой.

Ссылка на сообщение
Поделиться на другие сайты

Такой скрипт выполните.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    closeprocesses:
    Comment: clear out old detection history microsoft defender
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Защитник слеп на оба глаза, он говорит, что троянов нет... В разрешениях всё те же лица. Malwarebytes блокирует исходящее подключение третий раз.

 

Старой истории вроде нет, осталось лишь то, что было сегодня.

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • аноним99
      От аноним99
      По указанию консультанта создаю вторую тему и прилагаю данные со второго ПК (ПК А в первой теме)
      Прилагаю логи AutoLogger и данные Farbar Recovery Scan Tool
      CollectionLog-2024.03.08-15.09.zip Addition.txt FRST.txt
    • TYRBOGARLIK
      От TYRBOGARLIK
      Как удалить с 11 винды, касперский, др веб, malware не обнаружили 
    • wixard
      От wixard
      Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.
      В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник.
      Анивируса стороннего у меня не стояло. 
      Подскажите пожалуйста как или чем можно убрать данный троян.
      Перепробовал все, что сам знал, теперь обращаюсь к вам, видел старые обращения от людей, где вы советуете утилиту "FRST".
      Скачал ее, мне выдало 2 документа, сейчас прикреплю их, прошу помощи, что с ними делать дальше?
      Addition.txt FRST.txt
    • A7fold
      От A7fold
      Доброго времени суток. В продолжении своей темы о борьбе с wacatac - система чистая, все хорошо, однако у злоумышленника остается доступ к моим данным из хрома(аккаунты соц сетей в частности, при этом доступа к gmail у него нет(по крайней мере безопасность гугла ни разу не срабатывала и не появлялись новые устройства). Если вдруг кто то сталкивался с такой ситуацией и знает как решить проблему - буду очень благодарен.
       
    • Rogiman
      От Rogiman
      Хотел установить трейнер и кликнув по первой ссылке, скачав файл и попытавшись его установить получил букет из вирусов:  
      CollectionLog-2021.12.27-05.23.zip
×
×
  • Создать...