Решена Нуждаюсь в помощи с удалением майнера Trojan:Win32/Wacatac.H!ml

Статус
В этой теме нельзя размещать новые ответы.
K

kranovschik

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте! Я словил небезызвестный троян после установки KMSauto с недостоверного источника (по крайней мере, это единственный логичный вариант, поскольку я переустановил чистый Windows 11 лишь в прошлую пятницу). Данный вирус находится в системе уже примерно дня три. Сначала только заметны были постоянные проблемы с "нехваткой памяти" у Оперы, которых у меня не наблюдалось до переустановки. Вчера вечером решил проверить с помощью DrWeb Cureit, но именно тогда выяснился один из главных симптомов - браузер закрывался через 2-3 секунды после того, как была открыта страница DrWeb. В итоге, получилось через телефон достать копию Cureit, но при завершении лечения выявленных вирусов и перезагрузки ПК, понятное дело, что ничего не изменилось. Затем, через несколько часов стресса и поиска решения в сети, я наткнулся на данный форум. Нужные логи прикрепил, заранее благодарю за помощь!
 

Вложения

  • CollectionLog-2023.08.22-04.50.zip
    85.7 KB · Просмотры: 1
Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\programdata\windows tasks service\winserv.exe');
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\DRM\NBVetodtsjTLPR\CreedMobeF.bat','');
 QuarantineFile('c:\programdata\windows tasks service\winserv.exe','');
 DeleteFile('c:\programdata\windows tasks service\winserv.exe','32');
 DeleteFile('C:\ProgramData\Microsoft\DRM\NBVetodtsjTLPR\CreedMobeF.bat','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\CreedMobeF\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Файл c:\software.log прикрепите в архиве к следующему сообщению.

Выполните скрипт в AVZ
Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 
Последнее редактирование:
Здравствуйте, при попытке исполнить скрипт через программу появляются данные сообщения, приложенные в скриншоте (При этом появляется только начальное сообщение о том, что "Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения", но ни перезагрузки компьютера, ни появления software.log не следует, а программа автоматически закрывается). При повторной попытке после перезагрузки компьютера тоже ничего не произошло. Последующие шаги инструкции не выполнял.
 

Вложения

  • Screenshot_2.png
    Screenshot_2.png
    48.5 KB · Просмотры: 33
Последнее редактирование:
AV block remover запустил и новый лог записал.
 

Вложения

  • AV_block_remove_2023.08.22-16.34.log
    10.4 KB · Просмотры: 3
  • CollectionLog-2023.08.22-16.42.zip
    90.2 KB · Просмотры: 1
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Сделано.
 

Вложения

  • Farbar Scan Results.zip
    21.3 KB · Просмотры: 2
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
C:\ProgramData\Microsoft\DRM\NBVetodtsjTLPR
2023-08-18 01:50 - 2023-08-18 01:50 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-18 01:50 - 2023-08-18 01:50 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-18 01:50 - 2023-08-18 01:50 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-18 01:50 - 2023-08-18 01:50 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
2023-08-18 01:49 - 2023-08-18 01:49 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
Reboot:
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
 
Выполнено.
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 1
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.
 
Сделано.
 

Вложения

  • SecurityCheck.txt
    7.3 KB · Просмотры: 1
Malwarebytes version 4.5.32.271 v.4.5.32.271 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Driver Booster 10 v.10.6.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Нажмите для раскрытия...
по возможности исправьте указанное, и на этом закончим
 
Установил Malwarebytes с сайта, просканировал, выявилось два файла, которые отправил в карантин. Также, при перезапуске перестали появляться программы из ProgramFiles в исключениях Windows Defender. Раз на этом всё, то огромнейшее спасибо за вашу помощь!
 

Вложения

  • Screenshot_1.png
    Screenshot_1.png
    8 KB · Просмотры: 29
По первой записи, поймало что-то неактивное.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу