Перейти к содержанию

[РЕШЕНО] Серия вирусов Trojan:Script/Wacatac.B!ml и прочее (всего 12 шт.)


Рекомендуемые сообщения

Константин141414

CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Ghostery - Privacy Ad Blocker 1.0.0.0 - ставили самостоятельно?

 

Деинсталлируйте бесполезный SpyHunter 5.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '');
 DeleteSchedulerTask('7856757');
 DeleteFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServiceb\Parameters', 'ServiceDll', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Константин141414
2 часа назад, Sandor сказал:

Здравствуйте!

 

Ghostery - Privacy Ad Blocker 1.0.0.0 - ставили самостоятельно?

 

Деинсталлируйте бесполезный SpyHunter 5.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '');
 DeleteSchedulerTask('7856757');
 DeleteFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServiceb\Parameters', 'ServiceDll', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Здравствуйте! Ghostery - Privacy Ad Blocker 1.0.0.0 сам не ставил.

SpyHunter 5 - удалил.

Далее выполняю скрипты...

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Только не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Константин141414

CollectionLog-2022.01.10-16.44.zip

Судя по дате добавления этого файла Ghostery - Privacy Ad Blocker 1.0.0.0 , с тем что нашел антивирус, похоже что это он и есть?

Screenshot_3.jpg

Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3129086187-856368854-629893744-1001\...\MountPoints2: {39fcda33-4b96-11eb-8255-bc8556ec4d9a} - "E:\Setup.exe" 
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Константин\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {2601D0E1-943E-4DC8-BEA3-3758D7ED4485} - System32\Tasks\ProactiveScan => C:\Users\Константин\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
    Task: {CA6DD3BC-2CCE-4179-BDDF-EE92FD21D3E5} - System32\Tasks\Ghostery Update Task-S-1-5-21-3129086187-856368854-629893744-1001 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\Константин\AppData\Local\Programs\Ghostery\336968baf6.msi" /quiet CHROME=1
    CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://keep.google.com; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR StartupUrls: Default -> "hxxp://google/","hxxp://www.myscore.ru/","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=811036","hxxps://find-it.pro/?utm_source=distr_m"
    CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
    CHR DefaultSearchKeyword: Guest Profile -> find-it.pro
    CHR DefaultSuggestURL: Guest Profile -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m" 
    CHR DefaultSearchKeyword: Profile 1 -> cdn
    C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR Notifications: System Profile -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
    CHR DefaultSearchKeyword: System Profile -> find-it.pro
    CHR DefaultSuggestURL: System Profile -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Константин\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
    Zip:C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Preferences;C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Secure Preferences
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Константин\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    S1 mcbfylfw; \??\C:\Windows\system32\drivers\mcbfylfw.sys [X]
    S1 ofvfqtjo; \??\C:\Windows\system32\drivers\ofvfqtjo.sys [X]
    S1 rogbpspm; \??\C:\Windows\system32\drivers\rogbpspm.sys [X]
    S1 tgclcueq; \??\C:\Windows\system32\drivers\tgclcueq.sys [X]
    S1 vbnkflbs; \??\C:\Windows\system32\drivers\vbnkflbs.sys [X]
    Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3129086187-856368854-629893744-1001\...\{dbcac1fd-bf72-4669-81a2-c385da35b211}) (Version: 1.0.0.0 - Ghostery) Hidden
    AlternateDataStreams: C:\Users\Константин\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Константин\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    HKU\S-1-5-21-3129086187-856368854-629893744-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{8305D618-9813-49C2-A6C0-B34CE66CB753}] => (Allow) LPort=57209
    FirewallRules: [{5811391D-03B5-4F14-944B-34F62FED2DE9}] => (Allow) LPort=57209
    FirewallRules: [{6C5CB7F3-EB79-4BE3-B758-D205EC447B83}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣䅗祖⹶硥e => Нет файла
    FirewallRules: [{BA5C97CD-1A29-487C-9F22-FE3DF0501D9F}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
    FirewallRules: [{4636FFE3-5832-47EC-91F4-E067863DB916}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
    FirewallRules: [{E7ACD594-CA67-44EF-AB48-1388CA3DBAF4}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣剤硫攮數 => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Его тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Еще один скрипт, пожалуйста:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp\WvuPoJwIvxTKMZZr
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\AfEtqgzMU
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\LbrCreshhUUn
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\kaVMHETIwLgaWOPZfBR
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\uIPnBimJfvMEC
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\vrSSbiDyxJEU2
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\IDHkqpuSrkhXAiVB
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\system32\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

В перечне установленных программ должна появиться скрытая ранее

Цитата

Ghostery - Privacy Ad Blocker 1.0.0.0

Если не даст стандартно, удалите принудительно через Geek Uninstaller

Ссылка на сообщение
Поделиться на другие сайты
Константин141414

Получилось удалить через Geek.

Теперь не отображаются в защитнике windows, то что нужно!

Я так понимаю на этом все?

Screenshot_7.jpg

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Анатолий Мартынов
      От Анатолий Мартынов
      Добрый вечер! У меня сегодня та же проблема, отчеты в пристежке.
      Addition.txt FRST.txt
       
      Сообщение от модератора kmscom Сообщение перенесено из темы Переодичная попытка загрузки вируса с сайта  
    • c0ral0vii1
      От c0ral0vii1
      Что делать, столкнулся с проблемой во время бездействия это примерно 5 - 10 минут, начинает нагружаться система, процессор на 50% видеокарта на 100%(нагружается именно видеопамять). При открытии диспетчера задач нагрузка пропадает, тот же самый эффект производит и отключение компьютера от сети!
      Проверял Dr. Web Curelt нашло шифровальщик, но майнер не удалило, что можно сделать? 
      Если вам нужна какая либо дополнительная информация пишите в комментарии, на всё отвечу!
      В файлах 2 лога, N1 во время простоя но без активного вируса, то есть он ещё не нагружает систему, а N2 уже где вирус нагружает систему, но не так сильно, он как будто понял что я за ним слежу и не сильно начал нагружать систему, но всё равно её нагружал.
      N1 CollectionLog-2022.01.23-15.31.zip N2 CollectionLog-2022.01.23-16.21.zip
    • Baki
      От Baki
      Угонщик браузера d.abcweathercast.xyz и m.nearbyme.io не дает покоя что делать?? Пытался удалить даже ваш антивирус не помогает. Пишет что в безопасности но как открываешь браузер сразу выскакивает поисковая система m.nearbyme.io с результатами. Помогите пжст!
    • NoEndOutcry
      От NoEndOutcry
      Добрый день. История началась тут 
       Проблему с основным ПК мне помогли решить, и эта история навела меня на мысль что нужно проверить и ноутбук, который стал подозрительно быстро садиться, стал иногда работать в закрытом состоянии и иногда подтупливать, не смотря на конфигурацию. 
      Проверки касперским и дрвебом - нашли пару-тройку опасных файлов и удалили их. После удаления прогнал скрипт сбора логов - результат прикладываю. 
       
      CollectionLog-2022.01.19-11.05.zip
    • PULEGLOT007
      От PULEGLOT007
      Провёл несколько полных сканирований компьютера с помощью Kasperksy Virus Removal Tool, первые разы он находил вирусы, но теперь не находит, а нагрузка на ЦП остается около 100%, права админа отсутствуют и не получается установить Kaspersky Security Cloud Free, выдаёт ошибку во время установки. 
      CollectionLog-2022.01.14-00.39.zip
×
×
  • Создать...