Добрый день. Windows Defender ругается на зараженный файл file: C:\ProgramData\Evernote\Evernote.exe и определяет его как Trojan:Win32/Wacatac.H!ml. Данные для исследования прикрепил.
Printable View
Добрый день. Windows Defender ругается на зараженный файл file: C:\ProgramData\Evernote\Evernote.exe и определяет его как Trojan:Win32/Wacatac.H!ml. Данные для исследования прикрепил.
Уважаемый(ая) [B]zzzzzz163[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте!
[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\y130338\appdata\local\programs\transmission\transmission-qt.exe');
StopService('Transmission');
QuarantineFile('C:\Program Files (x86)\abSxNhfAU\TFOoDY.dll', '');
QuarantineFile('C:\Program Files (x86)\NiamukyBLHCU2\OTLFjOGoBDQYN.dll', '');
QuarantineFile('C:\Program Files (x86)\XTiZKNtlHQwBC\gxDwnvo.dll', '');
QuarantineFile('C:\ProgramData\proud-price\bin.exe', '');
QuarantineFile('C:\Users\y130338\AppData\Local\Programs\AdLock\a25be08ff6.msi', '');
QuarantineFile('C:\Users\y130338\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
QuarantineFile('c:\users\y130338\appdata\local\programs\transmission\transmission-qt.exe', '');
DeleteSchedulerTask('4Team updater');
DeleteSchedulerTask('AdLock Update Task-S-1-5-21-1747805620-5833769-668343140-101350');
DeleteSchedulerTask('EfqQZpbYoXzSFwJgpKO2');
DeleteSchedulerTask('GYZVzvvLwMfkAQ');
DeleteSchedulerTask('kYYExRHlKiAvgQn2');
DeleteSchedulerTask('protective-possession');
DeleteFile('C:\Program Files (x86)\abSxNhfAU\TFOoDY.dll', '64');
DeleteFile('C:\Program Files (x86)\NiamukyBLHCU2\OTLFjOGoBDQYN.dll', '64');
DeleteFile('C:\Program Files (x86)\XTiZKNtlHQwBC\gxDwnvo.dll', '64');
DeleteFile('C:\ProgramData\proud-price\bin.exe', '64');
DeleteFile('C:\Users\y130338\AppData\Local\Programs\AdLock\a25be08ff6.msi', '64');
DeleteFile('C:\Users\y130338\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
DeleteFile('c:\users\y130338\appdata\local\programs\transmission\transmission-qt.exe', '');
DeleteFile('C:\Users\y130338\AppData\Local\Programs\Transmission\transmission-qt.exe', '64');
DeleteService('Transmission');
DeleteFileMask('c:\users\y130338\appdata\local\programs\transmission', '*', false);
DeleteDirectory('c:\users\y130338\appdata\local\programs\transmission');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]
Компьютер [U]перезагрузится[/U].
Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL]. ([COLOR="RoyalBlue"]CollectionLog[/COLOR])
Обновленные логи приложил.
Уже лучше. Дополнительно, пожалуйста:
Скачайте [URL="https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B] ([B]Scan[/B]).
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Сделано!
[B]Примите к сведению[/B] - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: C:\Users\%USERNAME%\AppData\Local\Temp\*.js <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: %Program Files\Microsoft Monitoring Agent%\*\ <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: C:\Windows\perfc.dat <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Нет файла)
HKU\S-1-5-21-1747805620-5833769-668343140-101350\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6557C5C5-503C-4550-BFF1-32382E019640} - System32\Tasks\sRujuHLpHiEvN2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\QqvCaKLGpyCUkBVB\gAdehVq.wsf"
Task: {E08C86D6-04D5-42CB-BCFF-52C8F37DEEC5} - System32\Tasks\NcEAcjyIhxymCQHZQ2 => rundll32 "C:\Program Files (x86)\afUxMmbyerORshbkmXR\qyzUIRa.dll",#1
C:\Users\y130338\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\y130338\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
CHR HKU\S-1-5-21-1747805620-5833769-668343140-101350\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
Folder: C:\ProgramData\Evernote
2022-08-26 15:38 - 2022-08-31 12:05 - 000000000 ____D C:\Program Files (x86)\XTiZKNtlHQwBC
2022-08-26 15:38 - 2022-08-31 12:05 - 000000000 ____D C:\Program Files (x86)\NiamukyBLHCU2
2022-08-26 15:38 - 2022-08-26 15:38 - 000003044 _____ C:\WINDOWS\system32\Tasks\sRujuHLpHiEvN2
2022-08-26 15:38 - 2022-08-26 15:38 - 000003034 _____ C:\WINDOWS\system32\Tasks\NcEAcjyIhxymCQHZQ2
2022-08-26 15:38 - 2022-08-26 15:38 - 000000000 ____D C:\Program Files (x86)\SUCsmtYqQdUn
2022-08-26 15:38 - 2022-08-26 15:38 - 000000000 ____D C:\Program Files (x86)\afUxMmbyerORshbkmXR
2022-08-26 15:34 - 2022-08-26 15:38 - 000000000 ____D C:\Program Files (x86)\abSxNhfAU
AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
FirewallRules: [{65795C2F-C4E7-4C06-9044-ED8BB1D8469A}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{6D80D8D5-F8DF-442E-A4A5-356A2D61A1FA}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{4E4FA590-D269-40F0-BC27-37EF2D29F008}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{EBCE89CE-CEB8-4F1D-8341-D7E84FB762B7}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯婜㥴硧攮數 => Нет файла
FirewallRules: [{18971CF8-C3F4-4E66-B4D5-103332BC2D6E}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла
FirewallRules: [{B25C4416-0B57-4437-9D62-75E40971F96A}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{0B321E98-FBC8-4DB1-8B05-CD9302AD2A10}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯捜䙧硥e => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Исправить[/B] ([B]Fix[/B]) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.
Всё прикрепил. Надеюсь все хвосты подчистились).
Да, проблема решена?
Да все отлино! Проверил защитником Windows - угроз нет. Спасибо большое!!!
Отлично!
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]
Вот что получилось.
------------------------------- [ Windows ] -------------------------------
Extended support has ended [color=red][b]Warning! [url=https://go.microsoft.com/fwlink/?LinkID=799445]Download Update[/url][/b][/color]
Internet Explorer 11.1139.18362.0 [color=red][b]Warning! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB5001566]Download Update[/url][/b][/color]
[color=red][b]User Account Control [b]disabled[/b][/b][/color]
The elevation prompt for administrators [color=red][b]disabled[/b][/color]
[color=blue][b]^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office 365 ProPlus - en-us v.16.0.12527.20880 [color=red][b]Warning! [url=https://support.office.com/en-us/article/install-office-updates-2ab296f3-7f03-43a2-8e50-46de917611c5]Download Update[/url][/b][/color]
[color=blue][b]How Install Office updates?[/b][/color]
Microsoft Office 365 ProPlus - ru-ru v.16.0.12527.20880 [color=red][b]Warning! [url=https://support.office.com/en-us/article/install-office-updates-2ab296f3-7f03-43a2-8e50-46de917611c5]Download Update[/url][/b][/color]
[color=blue][b]How Install Office updates?[/b][/color]
TeamViewer v.15.27.3 [color=red][b]Warning! [url=https://download.teamviewer.com/download/TeamViewer_Setup.exe]Download Update[/url][/b][/color]
Microsoft Silverlight v.5.1.50918.0 [b][color=red]Warning! This software is no longer supported.[/color][/b]
Python 3.10.2 (64-bit) v.3.10.2150.0 [color=red][b]Warning! [url=https://www.python.org/downloads/windows/]Download Update[/url][/b][/color]
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64 edition) v.19.00.00.0 [color=red][b]Warning! [url=https://www.7-zip.org/download.html]Download Update[/url][/b][/color]
[color=blue][b]Uninstall old version and install new one.[/b][/color]
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.8 v.2.10.8 [color=red][b]Warning! [url=https://www.gimp.org/downloads/]Download Update[/url][/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 [b][color=red]Warning! Ad-supported P2P-client[/color][/b].
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 [b][color=red]Warning! RAT![/color][/b].
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 [color=red][b]Warning! [url=https://www.videolan.org/vlc/download-windows.html]Download Update[/url][/b][/color]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.15.006.30198 [color=red][b]Warning! [url=http://get.adobe.com/reader/otherversions]Download Update[/url][/b][/color]
[color=blue][b]^Please run Acrobat Reader DC and go Help - Check for updates...^[/b][/color]
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x64 ru) v.91.12.0 [color=red][b]Warning! [url=https://www.thunderbird.net/en-US/thunderbird/all/]Download Update[/url][/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
toc v.1.55 [b][color=red]Warning! Suspected Adware![/color][/b] If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url] and [url=https://ru.malwarebytes.com/adwcleaner/]Malwarebytes AdwCleaner[/url]. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
AdLock Privacy Ad Blocker 1.0.0.0 v.1.0.0.0 [color=blue][b]<< Hidden[/b][/color] [b][color=red]Warning! Suspected Adware![/color][/b] If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url] and [url=https://ru.malwarebytes.com/adwcleaner/]Malwarebytes AdwCleaner[/url]. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
VideoAdsBlocker v.2.0.0.2055 [b][color=red]Warning! Suspected Adware![/color][/b] If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url] and [url=https://ru.malwarebytes.com/adwcleaner/]Malwarebytes AdwCleaner[/url]. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
Chrone Browser v.86.0.4240.198 [b][color=red]Warning! Suspected Adware![/color][/b] If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url] and [url=https://ru.malwarebytes.com/adwcleaner/]Malwarebytes AdwCleaner[/url]. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
По возможности исправьте указанное и на этом закончим.