[РЕШЕНО] Trojan:script/wacatac.b!ml в списке разрешенных угроз

[MacMchale]

В списке разрешенных угроз лежит толпа вирусов, достать которые оттуда не выходит

CollectionLog-2022.01.26-18.39.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteSchedulerTask('7856757');
 DeleteSchedulerTask('GhosteryLogonUpdate');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '64');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('c:\programdata\robotdemo', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('c:\programdata\robotdemo');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[MacMchale]

CollectionLog-2022.01.26-19.06.zipClearLNK-2022.01.26_19.03.58.log

[Sandor]

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[MacMchale]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  C:\Users\Constanta\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
  YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Constanta\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  2022-01-26 18:59 - 2021-12-02 21:31 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\V_K-D_J
  2022-01-26 18:56 - 2021-12-12 21:08 - 000000000 ____D C:\ProgramData\RobotDemo
  2022-01-26 18:56 - 2021-12-12 21:08 - 000000000 ____D C:\Program Files (x86)\Transmission
  cricket own 1.5.2.1 (HKLM-x32\...\{1abb8991-137c-4f00-b1b9-861f5febf4f8}) (Version: 1.5.2.1 - Dare and Sons and Sons) Hidden
  disease believe 1.4.1.34 (HKLM-x32\...\{6e09c808-7092-4a52-ac44-4ce6face09be}) (Version: 1.4.1.34 - Considine, Farrell and Sanford PLC) Hidden
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[MacMchale]

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[MacMchale]

После всех действий там осталось 3 записи. Я вручную запретил им разрешение и они исчезли. Пока что ничего не появляется

[Sandor]

Хорошо, завершаем:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[MacMchale]

SecurityCheck.txt

[Sandor]

Еще один скрипт, пожалуйста, выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  Ghostery – Privacy Ad Blocker 1.0.0.0 (HKLM-x32\...\{8cd69eaf-94f8-4a3f-9a81-ec2d1da759fc}) (Version: 1.0.0.0 - Ghostery) Hidden
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

В перечне установленных программ появятся скрытые ранее:

Цитата

 

Ghostery – Privacy Ad Blocker 1.0.0.0

cricket own 1.5.2.1

disease believe 1.4.1.34

 

Удалите. Не даст удалить стандартно, удалите принудительно через Geek Uninstaller

[MacMchale]

Fixlog.txt

[Sandor]

12 часов назад, Sandor сказал:

Удалите

Удалили перечисленные программы?

 

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Opera Stable 82.0.4227.58 v.82.0.4227.58 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО

[MacMchale]

Да, перечисленные программы удалены.
Это все или еще что-то надо сделать?