Trojan:Script/Wacatac.B!ml, Trojan:Win32/Casur.A!cl и его друзья

[Sandor]

3 минуты назад, Revilandeo сказал:

Malwarebytes блокирует исходящее подключение

Деинсталлируйте его.

 

Проясню: сейчас в системе нет ничего вредоносного. Мы просто пытаемся очистить пустые записи Защитника.

 

Ещё так попробуем:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  closeprocesses:
  cmd: @Echo on
  cmd: del /s /q "C:\programdata\microsoft\windows defender\scans\history\*.*"
  startpowershell:
  set-mppreference -DisablePrivacyMode $true -force
  set-mppreference -ScanPurgeItemsAfterDelay 2 -force
  get-mpthreat
  get-mpthreatdetection
  get-mpcomputerstatus
  get-mppreference
  endpowershell:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Revilandeo]

Вот. Помимо этого задам вопрос: Неужели Защитник так ужасен, как все об этом говорят? 

Fixlog.txt

[Sandor]

Не знаю что такого ужасного о нем говорят

В целом, неплохо справляется со своими задачами. Но вот бывают такие казусы.

 

Последним скриптом время хранения подобных записей задано два дня. Давайте подождем и посмотрим.

 

Пока проверьте уязвимые места и устаревшее критическое ПО:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Revilandeo]

Таким образом получается, что ждём пару дней и смотрим, как себя чувствует Защитник?

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
VMware Workstation v.16.1.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.8.1.9.2 Внимание! Скачать обновления
Wireshark 3.4.9 64-bit v.3.4.9 Внимание! Скачать обновления
OpenOffice 4.1.10 v.4.110.9807 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Easy 7-Zip v0.1.6 (x64) v.0.1.6 (x64) Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
(при установленном 7z обычном, нужен ли еще этот дополнительно?)

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 81.0.4196.61 v.81.0.4196.61 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

 

5 минут назад, Revilandeo сказал:

смотрим, как себя чувствует Защитник

Точнее - исчезнут ли те записи.

[Revilandeo]

Хорошо, в таком случае обновлю проги, затем подождём пару дней. Отпишу если что. Спасибо Вам за всё, после всего этого - Сам Бог велел завязывать с датамайнингом

[Revilandeo]

Защитнику лучше не стало...

 

[Sandor]

Как я говорил выше, остались только "пустые" записи, в системе нет ничего вредоносного.

 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Попробуем ещё так:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  startpowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  endpowershell:
  SystemRestore: On
  CreateRestorePoint:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 21 декабря, 2021 пользователем Sandor

[Revilandeo]

Извините за ожидание, на работе службу тяну. Вот логи:Fixlog.txt

[Sandor]

Ещё один скрипт, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\aulcORpfkODCOrosEER
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\hzZdhwniUlKU2
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\OTrodvLHKvgrC
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\WDRwIKtbU
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Revilandeo]

Fixlog.txt

[Sandor]

Не сработало

Хорошо, если появятся новые идеи, напишем здесь.

[Revilandeo]

Буду ждать, спасибо