Usunięcie trojana Wacacat

mateuszu · Luty 11, 2021, 11:32rano

Dzień dobry.

Jest to mój pierwszy wpis na forum. Otóż jakoś tydzień temu Windows Defender wykrył u mnie Trojana „Wacacat” i przeniósł go na kwarantannę. Niestety w momencie kiedy chciałem go usunąć na stałe zniknął z historii Defendera, więc postanowiłem znaleźć odpowiedni folder, w którym Defender wrzuca pliki na kwarantannę. Znalazłem tam jakiś plik(losowe numerki i cyferki) i usunąłem go ręcznie.

Następnie postanowiłem się zabezpieczyć Malwarebytes, Avast robiłem scany itd…nie wykryły nic. Jednak przez następny tydzień cały czas otrzymywałem od Malwarebytes info, że blokuje jakieś wyskakujące pop upy, samoistnie włączające się strony. Ja tego nie zauważałem ale w jego raporcie było. Zdesperowany zainstalowałem antywirus ESET, także nic nie wykrywa.

Dlatego zwracam się do Was drodzy użytkownicy tego forum o pomoc w analizie plików z FRST, czytałem, że jest skutecznym narzędziem jednak potrzebna jest pomoc fachowca.

Z góry dziękuję

Mateusz

PS. Z ciekawości pytanko: czy FRST dba dostatecznie o bezpieczeństwo użytkownika w tych logach? Jak informację FRST wrzuca do logów?.

iJuliusz · Luty 9, 2021, 3:50po południu

Dzień dobry

Daj mi chwilkę, zerknę w logi

Co do zawartości, to w logach znajduje się wiele informacji o sprzęcie, o plikach (nazwy), rodzaje zabezpieczeń, itd.
Kiedyś napisałem artykuł o to co można znaleźć w logach

Pozdrawiam serdecznie
Juliusz
stopa

iJuliusz · Luty 9, 2021, 4:43po południu

Zrób skanowanie MBAM

Pobierz MalwareBytes MBAM
Zamknij wszystkie aktywne programy i przeglądarki.
Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
Wejdź w Ustawienia w Prawym górnym rogu
Zakładka Bezpieczeństwo
W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych
Wróć do Głównego Menu
Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

mateuszu · Luty 9, 2021, 4:54po południu

MBM mam zainstalowanego, także wykonałem skan i wklejam plik. Jeżeli wymagany jest skan dokładnie tym, który wysłał Pan to proszę mnie upomnieć, zrobię ponowny

PS. Zainteresowałem się bezpieczeństwem logów, które wrzuciłem, czy po zakończeniu tematu będzie możliwość ich usunięcia ze wpisu? Już wiem, że muszę je zabezpieczyć hasłem itd. skan mbm.txt (1,3 KB)

iJuliusz · Luty 9, 2021, 5:33po południu

Ten skan z Tej wersji wystarczy
Dziękuję.

Możesz odszukać raport MBAM, który wskazywał na problemy z wyskakującymi stronami?

Czy blokada pojawiała się przy używaniu Opery, czy innej przeglądarki?

Sprawdzałeś ustawienia Opery, czy nie ma tam w sekcji Powiadomienia, jakichś stron, których tam nie wpisałeś?

mateuszu · Luty 9, 2021, 5:40po południu

Tu wrzucam kilka przykładów: numer1powiadomienie.txt (793 bajty) numer2.txt (800 bajtów) numer3.txt (799 bajtów) numer4.txt (799 bajtów)
Szukałem tych stron w Operze, nie ma po nich śladu w historii. Powiadomienie wyskakiwały niby tylko z Opery.

I przy okazji chciałbym podziękować za chęć pomocy, bo we wcześniejszym wpisie nie wspomniałem c:

iJuliusz · Marzec 22, 2021, 9:35rano

Dziękuję

Raporty wskazują na zablokowanie stron, ale nie na to co je inicjowało
Czy zainstalowany ESET wykrył jakieś zagrożenia?

Zrób jeszcze skan ESET Online

Pobierz ESET Online Scanner
Uruchom z Uprawnieniami Administratora
Program pobierze Aktualizacje modułu skanowania
Wybierz Skanowanie komputera
Wybierz Pełne skanowanie
Wybierz “Włącz wykrywanie i przenoszenie…”
Rozpocznij skanowanie
Gdy wykryje jakiekolwiek zagrożenia zapisz raport
Program zapyta o Wersję próbną odznacz i wyłącz
Udostępnij plik raportu

Następnie możesz zrobić ponownie skan FRST, zaznacz Lista BCD przed uruchomieniem skanu
obraz
Logi możesz mi wrzucić w wiadomości PW, jeśli nie chcesz ich umieszczać na Forum

mateuszu · Luty 9, 2021, 7:31po południu

Raport z ESETA: skanowanieesetemonline.txt (308 bajtów)
Skan FRST wysyłam PW.

mateuszu · Luty 12, 2021, 9:21rano

Chyba znalazłem przyczynę wyskakujących pop upów w Operze. ESET zablokował mi takie coś już kilka dni temu, zrobiłem raport i wysłałem PW ale tam nic w tym raporcie o tym JS\Adware.Agent… nie ma, dopiero po wejściu w kwarantannę się ujawnia.

Toono · Luty 12, 2021, 10:14rano

Eset zablokował wejście na stronę lub jej pop-up i wyświetlił komunikat o JS/Adware.Agent.AA i tyle. Poprzednio robił to MBAM gdy wykrył na stronie na która wchodzisz jakiś podejrzany plik.
Jak w każdym AV mogą to być prawdziwe alarmy ale także fałszywe.
Co do Defendera to niestety ale jego komunikaty bywają czesto zagadkowe. Na przykład zablokuje pobranie pliku ale wyświetli komunikat o poddaniu go kwarantannie co jest nieprawdą. Nie mógł dac do kwarantanny czegos co skasował w trakcie pobierania.
Taka jego natura. Patrz ponizej i spróbuj zrozumiec ten komunikat.

eicar%202021-02-09%20211202

Mimo że testowy wirus został skasowany w trakcie pobierania na pulpit.

mateuszu · Luty 12, 2021, 11:38rano

Miałem identyczny komunikat od Defendera, tylko, że wcześniej usunąłem ręcznie pliki, które przeniósł na kwarantannę z folderu, w którym takie umieszcza. Niestety po zainstalowaniu Antywirusa tak jakby historia ochrony Defendera się usunęła i nie mam jak zescreenować. No nic zobaczę co będzie dalej. Dziękuję za wpis

Toono · Luty 12, 2021, 4:28po południu

On po prostu tak ma. Czy to wina niewłaściwego tłumaczenia? Może tak może nie. Innym “problemem” jest w nim tzw. skanowanie offline gdzie skanowanie jest uruchomione przed bootowaniem systemu. Skanowanie trwa do ok. 93%-95% a potem system sie bootuje i nie ma żadnej informacji w oknach Defendera że coś takiego zaszło gdy skanowanie nic nie wykryło.
Użytkownik jest przekonany że wystąpił jakiś błąd i skanowanie nie zaszło, no chyba ze się przekopie przez podgląd zdarzeń gdzie to jest odnotowane. Ale kto o tym wie?

mateuszu · Luty 18, 2021, 1:26po południu

Dzień dobry, przepraszam, że się tak przypominam ale zastanawia mnie kwestia czy po zastosowaniu pliku naprawczego trzeba podjąć jakieś działania usuwające “działanie właśnie plików naprawczych”?