Usunięcie trojana Wacacat

Dzień dobry.

Jest to mój pierwszy wpis na forum. Otóż jakoś tydzień temu Windows Defender wykrył u mnie Trojana „Wacacat” i przeniósł go na kwarantannę. Niestety w momencie kiedy chciałem go usunąć na stałe zniknął z historii Defendera, więc postanowiłem znaleźć odpowiedni folder, w którym Defender wrzuca pliki na kwarantannę. Znalazłem tam jakiś plik(losowe numerki i cyferki) i usunąłem go ręcznie.

Następnie postanowiłem się zabezpieczyć Malwarebytes, Avast robiłem scany itd…nie wykryły nic. Jednak przez następny tydzień cały czas otrzymywałem od Malwarebytes info, że blokuje jakieś wyskakujące pop upy, samoistnie włączające się strony. Ja tego nie zauważałem ale w jego raporcie było. Zdesperowany zainstalowałem antywirus ESET, także nic nie wykrywa.

Dlatego zwracam się do Was drodzy użytkownicy tego forum o pomoc w analizie plików z FRST, czytałem, że jest skutecznym narzędziem jednak potrzebna jest pomoc fachowca.

Z góry dziękuję

Mateusz

PS. Z ciekawości pytanko: czy FRST dba dostatecznie o bezpieczeństwo użytkownika w tych logach? Jak informację FRST wrzuca do logów?.

1lajk

Dzień dobry

Daj mi chwilkę, zerknę w logi

Co do zawartości, to w logach znajduje się wiele informacji o sprzęcie, o plikach (nazwy), rodzaje zabezpieczeń, itd.
Kiedyś napisałem artykuł o to co można znaleźć w logach

Pozdrawiam serdecznie
Juliusz
stopa

Zrób skanowanie MBAM

  • Pobierz MalwareBytes MBAM
  • Zamknij wszystkie aktywne programy i przeglądarki.
  • Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
  • Wejdź w Ustawienia w Prawym górnym rogu
  • Zakładka Bezpieczeństwo
  • W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych
  • Wróć do Głównego Menu
  • Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

MBM mam zainstalowanego, także wykonałem skan i wklejam plik. Jeżeli wymagany jest skan dokładnie tym, który wysłał Pan to proszę mnie upomnieć, zrobię ponowny :slight_smile:

PS. Zainteresowałem się bezpieczeństwem logów, które wrzuciłem, czy po zakończeniu tematu będzie możliwość ich usunięcia ze wpisu? Już wiem, że muszę je zabezpieczyć hasłem itd. skan mbm.txt (1,3 KB)

Ten skan z Tej wersji wystarczy :wink:
Dziękuję.

Możesz odszukać raport MBAM, który wskazywał na problemy z wyskakującymi stronami?

Czy blokada pojawiała się przy używaniu Opery, czy innej przeglądarki?

Sprawdzałeś ustawienia Opery, czy nie ma tam w sekcji Powiadomienia, jakichś stron, których tam nie wpisałeś?

Tu wrzucam kilka przykładów: numer1powiadomienie.txt (793 bajty) numer2.txt (800 bajtów) numer3.txt (799 bajtów) numer4.txt (799 bajtów)
Szukałem tych stron w Operze, nie ma po nich śladu w historii. Powiadomienie wyskakiwały niby tylko z Opery.

I przy okazji chciałbym podziękować za chęć pomocy, bo we wcześniejszym wpisie nie wspomniałem c:

1lajk

Dziękuję

Raporty wskazują na zablokowanie stron, ale nie na to co je inicjowało
Czy zainstalowany ESET wykrył jakieś zagrożenia?

Zrób jeszcze skan ESET Online

  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Program pobierze Aktualizacje modułu skanowania
  • Wybierz Skanowanie komputera
  • Wybierz Pełne skanowanie
  • Wybierz “Włącz wykrywanie i przenoszenie…”
  • Rozpocznij skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Wersję próbną odznacz i wyłącz
  • Udostępnij plik raportu

Następnie możesz zrobić ponownie skan FRST, zaznacz Lista BCD przed uruchomieniem skanu
obraz
Logi możesz mi wrzucić w wiadomości PW, jeśli nie chcesz ich umieszczać na Forum

1lajk

Raport z ESETA: skanowanieesetemonline.txt (308 bajtów)
Skan FRST wysyłam PW.

1lajk

Chyba znalazłem przyczynę wyskakujących pop upów w Operze. ESET zablokował mi takie coś już kilka dni temu, zrobiłem raport i wysłałem PW ale tam nic w tym raporcie o tym JS\Adware.Agent… nie ma, dopiero po wejściu w kwarantannę się ujawnia.

1lajk

Eset zablokował wejście na stronę lub jej pop-up i wyświetlił komunikat o JS/Adware.Agent.AA i tyle. Poprzednio robił to MBAM gdy wykrył na stronie na która wchodzisz jakiś podejrzany plik.
Jak w każdym AV mogą to być prawdziwe alarmy ale także fałszywe.
Co do Defendera to niestety ale jego komunikaty bywają czesto zagadkowe. Na przykład zablokuje pobranie pliku ale wyświetli komunikat o poddaniu go kwarantannie co jest nieprawdą. Nie mógł dac do kwarantanny czegos co skasował w trakcie pobierania.
Taka jego natura. Patrz ponizej i spróbuj zrozumiec ten komunikat.

eicar%202021-02-09%20211202

Mimo że testowy wirus został skasowany w trakcie pobierania na pulpit.

Miałem identyczny komunikat od Defendera, tylko, że wcześniej usunąłem ręcznie pliki, które przeniósł na kwarantannę z folderu, w którym takie umieszcza. Niestety po zainstalowaniu Antywirusa tak jakby historia ochrony Defendera się usunęła i nie mam jak zescreenować. No nic zobaczę co będzie dalej. Dziękuję za wpis :slight_smile:

On po prostu tak ma. Czy to wina niewłaściwego tłumaczenia? Może tak może nie. Innym “problemem” jest w nim tzw. skanowanie offline gdzie skanowanie jest uruchomione przed bootowaniem systemu. Skanowanie trwa do ok. 93%-95% a potem system sie bootuje i nie ma żadnej informacji w oknach Defendera że coś takiego zaszło gdy skanowanie nic nie wykryło.
Użytkownik jest przekonany że wystąpił jakiś błąd i skanowanie nie zaszło, no chyba ze się przekopie przez podgląd zdarzeń gdzie to jest odnotowane. Ale kto o tym wie?

Dzień dobry, przepraszam, że się tak przypominam ale zastanawia mnie kwestia czy po zastosowaniu pliku naprawczego trzeba podjąć jakieś działania usuwające “działanie właśnie plików naprawczych”?