[РЕШЕНО] Троян Wacatac.B!ml

[Mishail]

Здравствуйте, споймал Троян Wacatac.B!ml. В журнале угроз показывает что найдено 2 угрозы, а в полном журнале время от времени появляется этот Троян

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[Mishail]

Вот: 

CollectionLog-2022.02.09-22.51.zip

[Sandor]

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Mishail]

Вот,держите:  

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\RunOnce: [7876f17d-a44f-4096-9901-d94333996d7b] => "C:\Users\CA81~1\AppData\Local\Temp\{b1ed7d23-1005-4c48-b97c-b7cf69146e82}\7876f17d-a44f-4096-9901-d94333996d7b.cmd" <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Миша\Application Data:a8f96ed9f548b3497db5ddd233a8b439 [394]
  AlternateDataStreams: C:\Users\Миша\AppData\Roaming:a8f96ed9f548b3497db5ddd233a8b439 [394]
  AlternateDataStreams: C:\Users\Миша\AppData\Local\Temp:$DATA [16]
  FirewallRules: [{75C598ED-CECE-4694-811F-2FC36008DF3A}] => (Allow) LPort=32682
  StartBatch:
    ECHO Y|CHKDSK C: /F
    pushd c:\windows\system32
    bcdedit.exe /set {default} recoveryenabled yes
  
    net stop bits
    net stop cryptSvc
    net stop wuauserv
    net stop msiserver
  
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  
    netsh winsock reset catalog
    netsh int ipv4 reset reset.log
    netsh int ipv6 reset reset.log
    ipconfig /release
    ipconfig /renew
    ipconfig /flushdns
    ipconfig /registerdns
  
    net start bfe
    net start bits
    net start cryptSvc
    net start eventsystem
    net start msiserver
    net start rpcss
    net start sdrsvc
    net start trustedinstaller
    net start vss
    net start winmgmt
    net start wuauserv
  
    netsh winhttp reset proxy
    bitsadmin /list /allusers
    bitsadmin /reset /allusers
  
    netsh advfirewall reset
    netsh advfirewall set allprofiles state ON
  
  EndBatch:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Выполнение скрипта может занять продолжительное время, дождитесь окончания.

Во время перезагрузки будет запущено сканирование и исправление возможных ошибок диска. Не прерывайте.

[Mishail2]

Пишу со второго аккаунта) Вот:

Fixlog.txt

[Sandor]

Второй аккаунт - это нарушение правил (п.2).

 

Что сейчас с проблемой?

[Mishail2]

Извиняюсь за нарушение, просто на gmail почту не приходит оповещение о восстановление пароля, пришлось на mail.ru регистрировать. Вот когда вам отсылал файл Fixlog.txt в Журнале показывался до сих пор Троян, но щас зашел посмотреть и вирусы пропали,не пойму

[Sandor]

Перезагрузите компьютер и проверьте ещё раз.

Если записи останутся, при нажатии на слово "Критический" должны появиться дополнительные кнопки. Пробуйте удалить.

[Mishail2]

Ну пока что ничего нету,если записи вернутся - я вам отпишу,спасибо за помощь)

[Sandor]

Хорошо. Пока наблюдаете, проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Mishail2]

Вот: 

SecurityCheck.txt

 

Опять трояны появились в Полном Журнале.В Действиях у первого и у второго можно только Разрешить, удалить нельзя, а у третьего в Действиях ничего нету 

[Sandor]

Пометки "Удалено" и "Помещено в карантин" нас не интересуют

На последней нажмите "Показать подробности" и покажите что там.