Перейти к содержанию

[РЕШЕНО] Серия вирусов Trojan:Script/Wacatac.B!ml и прочее (всего 12 шт.)


Рекомендуемые сообщения

Константин141414

CollectionLog-2022.01.10-13.18.zipВирусы появились после установки на ПК стороннего софта. Ранее защитник Windows находил и не мог удалить данные файлы. Сейчас после того как я почистил папки Temp, защитник не находит их, но все же я не могу быть уверен что проблема решена, поэтому надеюсь что мне кто-нибудь подскажет решение.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Ghostery - Privacy Ad Blocker 1.0.0.0 - ставили самостоятельно?

 

Деинсталлируйте бесполезный SpyHunter 5.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '');
 DeleteSchedulerTask('7856757');
 DeleteFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServiceb\Parameters', 'ServiceDll', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Константин141414
2 часа назад, Sandor сказал:

Здравствуйте!

 

Ghostery - Privacy Ad Blocker 1.0.0.0 - ставили самостоятельно?

 

Деинсталлируйте бесполезный SpyHunter 5.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '');
 DeleteSchedulerTask('7856757');
 DeleteFile('C:\Windows\system32\ZQKKGNX2FI.tmp', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\AppServiceb\Parameters', 'ServiceDll', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Здравствуйте! Ghostery - Privacy Ad Blocker 1.0.0.0 сам не ставил.

SpyHunter 5 - удалил.

Далее выполняю скрипты...

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Только не цитируйте полностью предыдущее сообщение. Используйте форму быстрого ответа внизу.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Константин141414

CollectionLog-2022.01.10-16.44.zip

Судя по дате добавления этого файла Ghostery - Privacy Ad Blocker 1.0.0.0 , с тем что нашел антивирус, похоже что это он и есть?

Screenshot_3.jpg

Ссылка на сообщение
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3129086187-856368854-629893744-1001\...\MountPoints2: {39fcda33-4b96-11eb-8255-bc8556ec4d9a} - "E:\Setup.exe" 
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Константин\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {2601D0E1-943E-4DC8-BEA3-3758D7ED4485} - System32\Tasks\ProactiveScan => C:\Users\Константин\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
    Task: {CA6DD3BC-2CCE-4179-BDDF-EE92FD21D3E5} - System32\Tasks\Ghostery Update Task-S-1-5-21-3129086187-856368854-629893744-1001 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\Константин\AppData\Local\Programs\Ghostery\336968baf6.msi" /quiet CHROME=1
    CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://keep.google.com; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR StartupUrls: Default -> "hxxp://google/","hxxp://www.myscore.ru/","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=811036","hxxps://find-it.pro/?utm_source=distr_m"
    CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
    CHR DefaultSearchKeyword: Guest Profile -> find-it.pro
    CHR DefaultSuggestURL: Guest Profile -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m" 
    CHR DefaultSearchKeyword: Profile 1 -> cdn
    C:\Users\Константин\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\meejmcfbiapijdfaadackoblffmidlig
    CHR Notifications: System Profile -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
    CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
    CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
    CHR DefaultSearchKeyword: System Profile -> find-it.pro
    CHR DefaultSuggestURL: System Profile -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Константин\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\meejmcfbiapijdfaadackoblffmidlig
    C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
    Zip:C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Preferences;C:\Users\Константин\AppData\Roaming\Opera Software\Opera Stable\Secure Preferences
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Константин\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    S1 mcbfylfw; \??\C:\Windows\system32\drivers\mcbfylfw.sys [X]
    S1 ofvfqtjo; \??\C:\Windows\system32\drivers\ofvfqtjo.sys [X]
    S1 rogbpspm; \??\C:\Windows\system32\drivers\rogbpspm.sys [X]
    S1 tgclcueq; \??\C:\Windows\system32\drivers\tgclcueq.sys [X]
    S1 vbnkflbs; \??\C:\Windows\system32\drivers\vbnkflbs.sys [X]
    Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3129086187-856368854-629893744-1001\...\{dbcac1fd-bf72-4669-81a2-c385da35b211}) (Version: 1.0.0.0 - Ghostery) Hidden
    AlternateDataStreams: C:\Users\Константин\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Константин\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    HKU\S-1-5-21-3129086187-856368854-629893744-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{8305D618-9813-49C2-A6C0-B34CE66CB753}] => (Allow) LPort=57209
    FirewallRules: [{5811391D-03B5-4F14-944B-34F62FED2DE9}] => (Allow) LPort=57209
    FirewallRules: [{6C5CB7F3-EB79-4BE3-B758-D205EC447B83}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣䅗祖⹶硥e => Нет файла
    FirewallRules: [{BA5C97CD-1A29-487C-9F22-FE3DF0501D9F}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
    FirewallRules: [{4636FFE3-5832-47EC-91F4-E067863DB916}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
    FirewallRules: [{E7ACD594-CA67-44EF-AB48-1388CA3DBAF4}] => (Allow) 㩃啜敳獲쩜峭灁䑰瑡屡潒浡湩屧潴屣剤硫攮數 => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Его тоже прикрепите к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Еще один скрипт, пожалуйста:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp\WvuPoJwIvxTKMZZr
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\AfEtqgzMU
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\LbrCreshhUUn
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\kaVMHETIwLgaWOPZfBR
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\uIPnBimJfvMEC
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\vrSSbiDyxJEU2
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\IDHkqpuSrkhXAiVB
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\system32\
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

В перечне установленных программ должна появиться скрытая ранее

Цитата

Ghostery - Privacy Ad Blocker 1.0.0.0

Если не даст стандартно, удалите принудительно через Geek Uninstaller

Ссылка на сообщение
Поделиться на другие сайты
Константин141414

Получилось удалить через Geek.

Теперь не отображаются в защитнике windows, то что нужно!

Я так понимаю на этом все?

Screenshot_7.jpg

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Alexander-Ural
      От Alexander-Ural
      В течение недели, антивирус Касперского выдавал предупреждения о зашифрованных соединениях к различным веб-адресам (цепочка сертификатов не является завершенной). 2 дня назад, антивирус оповестил об обнаружении весьма назойливого вируса MEM:Trojan.Win32.SEPEH.gen. Попытки лечить с перезагрузкой не привели к положительным результатам.
       
      P.S. Сканирование с помощью Kaspersky Virus Removal Tool дало результат: был найден файл AAct.exe, который программа удалила. Увы, никакого отношения к проблеме, файл не имел. Буквально через минуту после перезагрузки системы, антивирус Касперского снова предупредил о заражении трояном.
      CollectionLog-2022.10.05-19.46.zip
    • Victor48
      От Victor48
      Здравствуйте. Поймал вирус-майнер. В диспетчере AMD.exe. Грузит проц а 100%
      Не дает открыть/установить никакие антивирусы, закрывает этот сайт и другие с решением данной проблемы.
      В безопасном режиме установил Farbar Recovery Scan Tool, отсканировал.
      Логи FRST и Addition прикрепляю
      logs.rar
    • nmrlstc
      От nmrlstc
      Здравствуйте, столкнулась с такой проблемой, нигде решение найти не могу - Каспер каждые 3-4 часа присылает уведомление "переход остановлен: вредоносный сайт", соответственно - ссылка на сайт и виновником обозначен msiexec.exe по пути на SYSWOW64. В ADWcleaner, FRST, Malware проверки сделала, они удалили некоторые вирусняки, но они походу не относились к тому, что меня тревожит сейчас. msiexec - это же установщик. Как его почистить или запретить процессы, которые запускают вирус? Откровенно стремновато от того, что его невозможно почистить. Спасибо тем, кто откликнется. 
       
      Нашла в реестре по пути HKEY_USERS\S-1-5-21-3688185596-1786232887-1367929869-1001\SOFTWARE\Microsoft\Notepad файл "SearchString" с названием этого сайта. Наверное это оно и есть?
    • Яков87
      От Яков87
      Скачал бесплатный установщик, при нажатии ничего не происходит. 
      Скачал платную версию, при запуске загорается окошечко и быстро гаснет
      Проверял комп куреитом, нашел 1 вирус, вылечил. проблема не решилась 
    • Nik777
      От Nik777
      Здравствуйте, антивирус обнаружил - 
       
      Помогите устранить, 10 мин и компьютер встает...
×
×
  • Создать...