Решена trojan:win32/wacatac.h!ml

Статус
В этой теме нельзя размещать новые ответы.
D

Damien_J

Новый пользователь
Сообщения
8
Реакции
0
Здравствуйте товарищи! Бродя по страницам интернета в поисках способа устранения Троянов- майнеров, всё попытки были тщетными но нашёл вас. И вот проблема:

Майнеры и трояны - trojan:win32/wacatac.h!ml
trojan:win32/wacatac.crack (как-то так)

Проблема очень серьёзная поскольку Троян блокирует приложения в реестре, антивирусы ( в том числе их exe файлы), браузер и возможность полностью переустановить ОС. Браузер же просто вылетает. При подключении интернета начинается сильнейшая нагрузка на процессор, понятно что Майнер. Мне просто нужна помощь, сам решить проблему я не смог. И просьба по возможности разъяснить как именно была решена проблема, просто есть интерес. Сама же проблема появилась в результате попытки установки KMS активатора для office. Есть файлы скана FRS.64. Вирусы не дают зайти в hosts и ProgramData
 

Вложения

  • Shortcut.txt
    113.9 KB · Просмотры: 2
  • FRST.txt
    95.3 KB · Просмотры: 1
  • Addition.txt
    990.1 KB · Просмотры: 1
Последнее редактирование:
Не получается запустить Автологер?
 
Sandor написал(а):
Здравствуйте!


По правилам сначала нужны другие - Правила оформления запроса о помощи
Нажмите для раскрытия...
Что делать если при открытии AutoLogger появляется ошибка "Отказано в доступе", права администратора у меня есть, запуск от админа выдает ту же самую ошибку
 
Создайте подпапку, переместите туда Автологер и запускайте. Или переместите его в любую другую папку, кроме Рабочего стола или папки Загрузки.
 
Логи
 

Вложения

  • CollectionLog-2023.07.10-16.08.zip
    133 KB · Просмотры: 3
Скачайте, распакуйте (тоже в подпапку) и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger и прикрепите новый CollectionLog.
 
Сделано!
 

Вложения

  • AV_block_remove_2023.07.10-23.22.log
    12.9 KB · Просмотры: 3
  • CollectionLog-2023.07.10-23.47.zip
    124.9 KB · Просмотры: 1
Хорошо, уже должно полегчать.

"Пофиксите" в HijackThis только следующие строки:
Код: 
O4 - Autorun.inf: D:\autorun.inf - open - AutoRun\AutoRunX\AutoRunX.exe (file missing)
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks: DriverFix - C:\Program Files (x86)\DriverFix\DriverFix.exe -auto (file missing)
O22 - Tasks_Migrated: DriverFix - C:\Program Files (x86)\DriverFix\DriverFix.exe -auto (file missing)
Перезагрузите компьютер.

Удалите старые и соберите новые логи FRST.txt и Addition.txt.
 
Логи
 

Вложения

  • Addition.txt
    997.6 KB · Просмотры: 1
  • FRST.txt
    87.3 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1708037110-977383252-3984573554-1001\...\MountPoints2: {57a32aa9-1ce5-11eb-b997-8030491763d0} - "E:\setup.exe" 
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
C:\Users\Sulpak\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2023-07-09 17:43 - 2023-07-09 17:43 - 000000000 __SHD C:\ProgramData\princeton-produce
FirewallRules: [{E9C225D4-A04A-4F5C-B58C-2790CAA54529}] => (Allow) LPort=8000
FirewallRules: [{19E2A974-5DC2-4930-91CF-B375F00EB683}] => (Allow) LPort=31104
FirewallRules: [{5EA6F03C-8078-41DE-9C4E-B696A74EF893}] => (Allow) LPort=31100
FirewallRules: [{497CC300-5F4A-46B0-AABF-8C3DBE4BF2E4}] => (Allow) LPort=50052
FirewallRules: [{3DDDA7FF-D0FF-42C9-B0B8-6B884239EADB}] => (Allow) LPort=31105
FirewallRules: [{B3F281A5-84E0-4985-B3A2-5DA565C501FA}] => (Allow) LPort=31106
FirewallRules: [{0B5B049A-96EB-4899-BE34-C595377C6896}] => (Allow) LPort=31107
FirewallRules: [{E9BE9543-071B-4F74-903A-9734081892AF}] => (Allow) LPort=31108
FirewallRules: [{BB3DFF09-4CB5-4A02-878A-A6735D4464BC}] => (Allow) LPort=31109
FirewallRules: [{188A44E7-B621-4058-B90A-4E4ABDDC9BC6}] => (Allow) LPort=31110
FirewallRules: [{068C75A3-0601-4A9A-95CD-512E8F70EDFB}] => (Allow) LPort=31111
FirewallRules: [{934254B1-9853-4DA7-B418-D8CE1CA5FC37}] => (Allow) LPort=31112
FirewallRules: [{1C6D1AE8-0560-4BA0-8BCB-FFA046007FDC}] => (Allow) LPort=31113
FirewallRules: [{BB349E70-0043-4FC9-BA78-C6014A22451B}] => (Allow) LPort=12292
FirewallRules: [{641FB8C8-BF69-4D3A-A812-1FE43C93C55B}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Фикс
 

Вложения

  • Fixlog.txt
    8.1 KB · Просмотры: 1
Скрипт отработал успешно. В итоге - проблема решена?
 
Антивирус Microsoft ничего не показывает, 100% нагрузка на процессор больше не появляется при включении интернета, вкладки браузера не потеряны. В целом компьютер даже быстрее начал работать. Вроде бы никаких проблем не наблюдается. Если вас не затруднит можете объяснить что это был за Троян такой мощный? Каким образом он начал действовать? Из моего наблюдения было замечена только смена реестра, новый пользователь Джон, и то что он (сам вирус) сидел в ProgramFiles вроде бы.
 
Отлично!

О том, что делает этот майнер подробно написано на странице, откуда вы скачивали AVbr:
www.safezone.cc

AV block remover (AVbr)

AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антивирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях...
www.safezone.cc www.safezone.cc

А попадает он в систему как правило при установке некоего репака или активатора, скачанного с торрента.

Пожалуйста, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Sandor написал(а):
Отлично!

О том, что делает этот майнер подробно написано на странице, откуда вы скачивали AVbr:
www.safezone.cc

AV block remover (AVbr)

AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антивирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях...
www.safezone.cc www.safezone.cc

А попадает он в систему как правило при установке некоего репака или активатора, скачанного с торрента.

Пожалуйста, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Нажмите для раскрытия...
 

Вложения

  • SecurityCheck.txt
    13.1 KB · Просмотры: 1
Исправьте по возможности:
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.0.149.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.23.5.2 Внимание! Скачать обновления
Git v.2.39.1 Внимание! Скачать обновления
GPL Ghostscript v.10.01.1 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft SQL Server 2012 Native Client v.11.4.7462.6 Данная программа больше не поддерживается разработчиком.
Microsoft Visual Studio Code (User) v.1.74.2 Внимание! Скачать обновления
Python 3.9.0 (64-bit) v.3.9.150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.10 (64-разрядная) v.6.10.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Cisco Webex Meetings v.42.10.5 Внимание! Скачать обновления
Discord v.1.0.9001 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader MUI v.23.001.20174 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
---------------------------- [ UnwantedApps ] -----------------------------
Uran v.59.0.3071.110 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу