Вирус Trojan:Win32/Wacatac.H!ml

**zzzzzz163** · 31.08.2022, 08:05

Добрый день. Windows Defender ругается на зараженный файл file: C:\ProgramData\Evernote\Evernote.exe и определяет его как Trojan:Win32/Wacatac.H!ml. Данные для исследования прикрепил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.08.2022, 08:08

Уважаемый(ая) zzzzzz163, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 31.08.2022, 08:50

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\y130338\appdata\local\programs\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\Program Files (x86)\abSxNhfAU\TFOoDY.dll', '');
 QuarantineFile('C:\Program Files (x86)\NiamukyBLHCU2\OTLFjOGoBDQYN.dll', '');
 QuarantineFile('C:\Program Files (x86)\XTiZKNtlHQwBC\gxDwnvo.dll', '');
 QuarantineFile('C:\ProgramData\proud-price\bin.exe', '');
 QuarantineFile('C:\Users\y130338\AppData\Local\Programs\AdLock\a25be08ff6.msi', '');
 QuarantineFile('C:\Users\y130338\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 QuarantineFile('c:\users\y130338\appdata\local\programs\transmission\transmission-qt.exe', '');
 DeleteSchedulerTask('4Team updater');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-1747805620-5833769-668343140-101350');
 DeleteSchedulerTask('EfqQZpbYoXzSFwJgpKO2');
 DeleteSchedulerTask('GYZVzvvLwMfkAQ');
 DeleteSchedulerTask('kYYExRHlKiAvgQn2');
 DeleteSchedulerTask('protective-possession');
 DeleteFile('C:\Program Files (x86)\abSxNhfAU\TFOoDY.dll', '64');
 DeleteFile('C:\Program Files (x86)\NiamukyBLHCU2\OTLFjOGoBDQYN.dll', '64');
 DeleteFile('C:\Program Files (x86)\XTiZKNtlHQwBC\gxDwnvo.dll', '64');
 DeleteFile('C:\ProgramData\proud-price\bin.exe', '64');
 DeleteFile('C:\Users\y130338\AppData\Local\Programs\AdLock\a25be08ff6.msi', '64');
 DeleteFile('C:\Users\y130338\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteFile('c:\users\y130338\appdata\local\programs\transmission\transmission-qt.exe', '');
 DeleteFile('C:\Users\y130338\AppData\Local\Programs\Transmission\transmission-qt.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\users\y130338\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\y130338\appdata\local\programs\transmission');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте повторные логи по правилам. (CollectionLog)

**zzzzzz163** · 31.08.2022, 11:19

Обновленные логи приложил.

**Sandor** · 31.08.2022, 14:03

Уже лучше. Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**zzzzzz163** · 01.09.2022, 08:04

Сделано!

**Sandor** · 01.09.2022, 08:46

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: C:\Users\%USERNAME%\AppData\Local\Temp\*.js <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: %Program Files\Microsoft Monitoring Agent%\*\ <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: C:\Windows\perfc.dat <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла)
HKU\S-1-5-21-1747805620-5833769-668343140-101350\...\Run: [Firefox Browser] => C:\Firefox\X-Firefox.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1747805620-5833769-668343140-101350\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6557C5C5-503C-4550-BFF1-32382E019640} - System32\Tasks\sRujuHLpHiEvN2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\QqvCaKLGpyCUkBVB\gAdehVq.wsf"
Task: {E08C86D6-04D5-42CB-BCFF-52C8F37DEEC5} - System32\Tasks\NcEAcjyIhxymCQHZQ2 => rundll32 "C:\Program Files (x86)\afUxMmbyerORshbkmXR\qyzUIRa.dll",#1
C:\Users\y130338\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\y130338\AppData\Local\Google\Chrome\User Data\Default\Extensions\mfhcmdonhekjhfbjmeacdjbhlfgpjabp
CHR HKU\S-1-5-21-1747805620-5833769-668343140-101350\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
Folder: C:\ProgramData\Evernote
2022-08-26 15:38 - 2022-08-31 12:05 - 000000000 ____D C:\Program Files (x86)\XTiZKNtlHQwBC
2022-08-26 15:38 - 2022-08-31 12:05 - 000000000 ____D C:\Program Files (x86)\NiamukyBLHCU2
2022-08-26 15:38 - 2022-08-26 15:38 - 000003044 _____ C:\WINDOWS\system32\Tasks\sRujuHLpHiEvN2
2022-08-26 15:38 - 2022-08-26 15:38 - 000003034 _____ C:\WINDOWS\system32\Tasks\NcEAcjyIhxymCQHZQ2
2022-08-26 15:38 - 2022-08-26 15:38 - 000000000 ____D C:\Program Files (x86)\SUCsmtYqQdUn
2022-08-26 15:38 - 2022-08-26 15:38 - 000000000 ____D C:\Program Files (x86)\afUxMmbyerORshbkmXR
2022-08-26 15:34 - 2022-08-26 15:38 - 000000000 ____D C:\Program Files (x86)\abSxNhfAU
AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
FirewallRules: [{65795C2F-C4E7-4C06-9044-ED8BB1D8469A}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{6D80D8D5-F8DF-442E-A4A5-356A2D61A1FA}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{4E4FA590-D269-40F0-BC27-37EF2D29F008}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{EBCE89CE-CEB8-4F1D-8341-D7E84FB762B7}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯婜㥴硧攮數 => Нет файла
FirewallRules: [{18971CF8-C3F4-4E66-B4D5-103332BC2D6E}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{B25C4416-0B57-4437-9D62-75E40971F96A}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{0B321E98-FBC8-4DB1-8B05-CD9302AD2A10}] => (Allow) 㩃啜敳獲祜㌱㌰㠳䅜灰慄慴剜慯業杮瑜捯捜䙧⹭硥e => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**zzzzzz163** · 01.09.2022, 09:53

Всё прикрепил. Надеюсь все хвосты подчистились).

**Sandor** · 01.09.2022, 11:05

Да, проблема решена?

**zzzzzz163** · 01.09.2022, 11:29

Да все отлино! Проверил защитником Windows - угроз нет. Спасибо большое!!!

**Sandor** · 01.09.2022, 12:47

Отлично!

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**zzzzzz163** · 01.09.2022, 13:53

Вот что получилось.

**Sandor** · 04.09.2022, 21:03

------------------------------- [ Windows ] -------------------------------
Extended support has ended Warning! Download Update
Internet Explorer 11.1139.18362.0 Warning! Download Update
User Account Control disabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office 365 ProPlus - en-us v.16.0.12527.20880 Warning! Download Update
How Install Office updates?
Microsoft Office 365 ProPlus - ru-ru v.16.0.12527.20880 Warning! Download Update
How Install Office updates?
TeamViewer v.15.27.3 Warning! Download Update
Microsoft Silverlight v.5.1.50918.0 Warning! This software is no longer supported.
Python 3.10.2 (64-bit) v.3.10.2150.0 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64 edition) v.19.00.00.0 Warning! Download Update
Uninstall old version and install new one.
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.8 v.2.10.8 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Warning! Ad-supported P2P-client.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Warning! RAT!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Warning! Download Update
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.15.006.30198 Warning! Download Update
^Please run Acrobat Reader DC and go Help - Check for updates...^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x64 ru) v.91.12.0 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
toc v.1.55 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
AdLock Privacy Ad Blocker 1.0.0.0 v.1.0.0.0 << Hidden Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
VideoAdsBlocker v.2.0.0.2055 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!
Chrone Browser v.86.0.4240.198 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!

По возможности исправьте указанное и на этом закончим.

Вирус Trojan:Win32/Wacatac.H!ml (заявка № 227807)

Опции темы