Перейти к содержанию

[РЕШЕНО] Троян Wacatac.B!ml


Рекомендуемые сообщения

Здравствуйте, споймал Троян Wacatac.B!ml. В журнале угроз показывает что найдено 2 угрозы, а в полном журнале время от времени появляется этот Троян

222.PNG

223.PNG

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\RunOnce: [7876f17d-a44f-4096-9901-d94333996d7b] => "C:\Users\CA81~1\AppData\Local\Temp\{b1ed7d23-1005-4c48-b97c-b7cf69146e82}\7876f17d-a44f-4096-9901-d94333996d7b.cmd" <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\Users\Миша\Application Data:a8f96ed9f548b3497db5ddd233a8b439 [394]
    AlternateDataStreams: C:\Users\Миша\AppData\Roaming:a8f96ed9f548b3497db5ddd233a8b439 [394]
    AlternateDataStreams: C:\Users\Миша\AppData\Local\Temp:$DATA [16]
    FirewallRules: [{75C598ED-CECE-4694-811F-2FC36008DF3A}] => (Allow) LPort=32682
    StartBatch:
      ECHO Y|CHKDSK C: /F
      pushd c:\windows\system32
      bcdedit.exe /set {default} recoveryenabled yes
    
      net stop bits
      net stop cryptSvc
      net stop wuauserv
      net stop msiserver
    
      del /s /q C:\Windows\SoftwareDistribution\download\*.*
      del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    
      netsh winsock reset catalog
      netsh int ipv4 reset reset.log
      netsh int ipv6 reset reset.log
      ipconfig /release
      ipconfig /renew
      ipconfig /flushdns
      ipconfig /registerdns
    
      net start bfe
      net start bits
      net start cryptSvc
      net start eventsystem
      net start msiserver
      net start rpcss
      net start sdrsvc
      net start trustedinstaller
      net start vss
      net start winmgmt
      net start wuauserv
    
      netsh winhttp reset proxy
      bitsadmin /list /allusers
      bitsadmin /reset /allusers
    
      netsh advfirewall reset
      netsh advfirewall set allprofiles state ON
    
    EndBatch:
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Выполнение скрипта может занять продолжительное время, дождитесь окончания.

Во время перезагрузки будет запущено сканирование и исправление возможных ошибок диска. Не прерывайте.

Ссылка на сообщение
Поделиться на другие сайты

Извиняюсь за нарушение, просто на gmail почту не приходит оповещение о восстановление пароля, пришлось на mail.ru регистрировать. Вот когда вам отсылал файл Fixlog.txt в Журнале показывался до сих пор Троян, но щас зашел посмотреть и вирусы пропали,не пойму

33333.PNG.0dc90d1c5681b057dcda399a4938efdd.PNG

Ссылка на сообщение
Поделиться на другие сайты

Перезагрузите компьютер и проверьте ещё раз.

Если записи останутся, при нажатии на слово "Критический" должны появиться дополнительные кнопки. Пробуйте удалить.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо. Пока наблюдаете, проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Вот: 

SecurityCheck.txt

 

Опять трояны появились в Полном Журнале.В Действиях у первого и у второго можно только Разрешить, удалить нельзя, а у третьего в Действиях ничего нету 

1.PNG

Ссылка на сообщение
Поделиться на другие сайты

Пометки "Удалено" и "Помещено в карантин" нас не интересуют :)

На последней нажмите "Показать подробности" и покажите что там.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Kirik_
      От Kirik_
      Доброго времени суток!
      Скажу сразу: это нужно по работе. Посоветуйте пжст компьютерную программу, которая выделяет все, но вставляет только определенные элементы.
      Теперь подробнее, что надо...
      Есть файл word, где в столбик написано следующее:
      Название сайта
      http... (ссылка)
      Название сайта
      http... (ссылка)
      Название сайта
      http... (ссылка)
      Название сайта
      http... (ссылка)
      Название сайта
      http... (ссылка)
      Название сайта
      http... (ссылка)
      ...
      Название сайта
      http... (ссылка)
       
      Вручную удалять названия сайтов в ворде уже запарился. Ведь список большой, на нескольких листах. Нужно перенести в другой документ только ссылки. То есть выделить все в ворде, но чтоб в другой документ вставились только ссылки http. Без названий сайтов. Это вполне возможно? Есть ли какая-то компьютерная программа с расширенными возможностями такой вставки?
    • denissevostanov
      От denissevostanov
      решил провести чистку и наткнулся на файл winserver.exe в папке windows/media я начал сканирование системы через hitmanpro определил как вирус после этого были попытки поместить в карантин после этого всего увидел что был украден аккаунт стим и взломан аккаунт гугл пытался удалить без успешно заново появлялся через некоторое время начал сканировать его еще раз но он уже не определялся как вирус и теперь не знаю могу ли я как прежне пользоваться пк
    • PashaR
      От PashaR
      Добрый вечер, мне кажется, что я подцепил вирус на свой ПК, помогите решить проблему, пожалуйста. Понял, что что-то идет не так, когда вдруг при включении ПК обнаружил, что Яндекс.Браузер и антивирус Avast сами по себе удалились. Причем Avast все еще есть среди файлов на диске, да и в диспетчере задач на фоне отображается, но в "Панель управления>Удаление приложений" я его не увидел. Так же он отображается работающим в "Безопасность Windows>Защита от вирусов и угроз", но при нажатии на кнопку открыть ничего не происходит. Если попробовать скачать и запустить установщик, то он зависает на долгое время, а потом вылетает. Яндекс.Браузер совсем пропал, при попытке его переустановить вылазит предупреждение о трояне в папке temp и предложение лечить перезагрузкой (фото 1 и 2), название у файлов каждый раз новое. Если лечить без перезагрузки, то установщик браузера закрывается не закончив установку, а компьютер начинает очень тормозить и гудеть, если нажать лечить перезагрузкой, то пк перестает реагировать на любые действия и выдает ошибки памяти (фото 3), даже проводник и диспетчер задач не открывает. Сканировал разными программами: HitManPro, ESET Online Scanner, dr.Web, KVRT - ни одна ничего не обнаружила. Так же заметил, что в "Свойства системы>Защита системы" есть как-то странный диск с подозрительным названием (фото 4), раньше я сюда не залазил, так что не знаю был ли он там ранее, при нажатии на кнопку "Настроить" текущее окно вылетает, а окно настроек не открывается. Когда открываю диспетчер задач, то долю секунды наблюдаю загруженность ЦП в 90-100%, потом быстро падает, отследить что за задача так его нагружает не возможно за такое короткое время, поэтому думаю, что может это скрытый майнер. Результат сканирования прикрепил. Спасибо)
       
      CollectionLog-2023.02.01-00.00.zip
    • Макс2344234
      От Макс2344234
      У меня каждые 3 секунды это вылазит без остановки! ЧТО ДЕЛАТЬ?
      Событие: Загрузка остановлена
      Пользователь: НЕ СКАЖУ
      Тип пользователя: Активный пользователь
      Имя программы: msedge.exe
      Путь к программе: C:\Program Files (x86)\Microsoft\Edge\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Степень угрозы: Высокая
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • DramaticCarAuthor
      От DramaticCarAuthor
      Здравствуйте. После запуска установщика, полученного из торрента, в основной браузер (google chrome) без моего вмешательства установилось расширение "savevpn", при взаимодействии с ним ничего не происходит, источником установки был длинный локальный путь на этом компьютере. Я сразу удалил расширение. Мне кажется, что этого шага может быть недостаточно, так же не ясно что ещё могло быть установлено. Поводом для беспокойства послужил результат (imgur ссылка с результатом сканирования) полной проверки антивирусом. Последующие проверки Касперским, Dr.Web CureIt ничего не показали, всё же считаю нужным убедиться, что угрозы нет. 
      CollectionLog-2023.01.30-07.20.zip
×
×
  • Создать...