• Ogłoszenie:

Trojan:win32/wacatac.b!ml

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Trojan:win32/wacatac.b!ml

Postprzez Łowca Androidów 02 Lis 2019, 13:29

reklama
Witam.
Od jakiegoś czasu miałem oprócz dysków coś takiego jak "moje wityryny sieci web", nic tam nie dodawałem a coś było. Dzisiaj postanowiłem się temu przyjrzeć i dałe usuń skrót, usunęło do kosza, jak wszedłem do kosza odezwał się defender w windows 10 i okazało się, że usunął "Trojan:Win32/Wacatac.B!ml"
Oto raport z defendera:
---------------------
Trojan:Win32/Wacatac.B!ml
Poziom alertu:
Poważny
Data:
02.11.2019 11:57
Kategoria:
Koń trojański
Szczegóły:
Ten program jest niebezpieczny i wykonuje polecenia osoby atakującej.
Trojan:Win32/Wacatac.B!ml
Dowiedz się więcej
Dotyczy elementów:
Dotyczy elementów:
file: C:\$Recycle.Bin\S-1-5-21-2408142553-4276234308-512383470-1001\$REER4V5.exe
----------------------
Zrobiłem skan FRST i logi w załączniku.
Proszę o sprawdzenie.

Dodano Dzisiaj, 12:36:
Nie mogę dodać pliku FRST.txt, po kliknięciu dodaj plik nic się nie dzieje, a plik się nie dodaje.
Wstawiłem więc na dropbox bo nie znam żadnego działającego hostingu dla wklejek txt
https://www.dropbox.com/s/fkzu89bcv89d5r9/FRST.txt?dl=1
Załączniki
Addition.txt
(56.34 KiB) Ściągnięto 280 razy
Kobiety nie zmienisz, możesz zmienić kobietę, ale to nic nie zmieni.

nie potrafie znaleźć darmowego programu który byłby za darmo
---------------------------------------------------------------------------------------
sprawdź czy na systemie jest system
Awatar użytkownika
Łowca Androidów
»ekspert
»ekspert
 
Posty: 2136
Dołączenie: 11 Kwi 2014, 13:03
Pochwały: 105



Trojan:win32/wacatac.b!ml

Postprzez ordynat 02 Lis 2019, 14:01

W logach - nic podejrzanego.

Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
FirewallRules: [{9B3D3ABB-E761-4C60-85C2-C99CE84A0DD8}] => (Block) %ProgramFiles%\Freedom Scientific\JAWS\2019\jfw.exe Brak pliku
FirewallRules: [{7C76B143-8E6A-43CA-9683-51EA34AEE4EA}] => (Block) %ProgramFiles%\Freedom Scientific\Authorization\Tools\lswhere.exe Brak pliku
FirewallRules: [{9A909A60-C4A1-45F2-9731-68981B82540A}] => (Block) %ProgramFiles%\Freedom Scientific\Authorization\Tools\vregtool.exe Brak pliku
FirewallRules: [{6E8B7625-AA4A-4754-8CEC-BC7EED178958}] => (Block) C:\Program Files\Freedom Scientific\Activator\HWID.ini Brak pliku
FirewallRules: [{FA872884-2B90-4D53-BCF0-3B878136D1E0}] => (Block) %ProgramFiles%\Freedom Scientific\Authorization\Tools\lswhere.exe Brak pliku
FirewallRules: [{BBB13021-2EC8-4E66-8C21-E263817CB43A}] => (Block) %ProgramFiles%\Freedom Scientific\Authorization\Tools\vregtool.exe Brak pliku
FirewallRules: [{3DBC968F-7449-4112-AF9E-8BD5C823E604}] => (Block) %ProgramFiles%\Freedom Scientific\JAWS\2019\jfw.exe Brak pliku
FirewallRules: [{46ED79F4-3D4E-4945-B1F3-63F26E62D001}] => (Block) C:\Program Files\Freedom Scientific\Activator\HWID.ini Brak pliku
FirewallRules: [{F107D125-6FD9-445F-8E01-73E0CC0509EA}] => (Block) C:\Users\Gollum\AppData\Roaming\Freedom Scientific\Logs\c869f7b9.elog Brak pliku
FirewallRules: [{01B5D595-39B1-44E7-AD2F-000187636BC7}] => (Block) C:\Users\Gollum\AppData\Roaming\Freedom Scientific\Telemetry\Telemetry.ini Brak pliku
FirewallRules: [{ABBB674A-002F-4E7D-8303-7D68FDBDABEA}] => (Block) C:\Users\Gollum\AppData\Roaming\Freedom Scientific\Telemetry\Telemetry.ini Brak pliku
FirewallRules: [{EA224BBF-C341-4B5A-8596-3A5BE56D0488}] => (Block) C:\Users\Gollum\AppData\Roaming\Freedom Scientific\Logs\c869f7b9.elog Brak pliku
FirewallRules: [{A38EBCF5-6545-42BE-9C71-1EF883B3CA68}] => (Block) C:\Users\Gollum\AppData\Roaming\Microsoft\Windows\Recent\ALTIXREGISTER.EXE-716CCF97.pf.lnk Brak pliku
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

C:\$Recycle.Bin\S-1-5-21-2408142553-4276234308-512383470-1001\$REER4V5.exe

Przydałoby się użyć USBFix'a, bo to wygląda na infekcję z pendrive'a, ale w logu FRST nie ma żadnego śladu, że pendrive w ogóle był podpinany, więc sam nie wiem, co o tym myśleć.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Trojan:win32/wacatac.b!ml

Postprzez Łowca Androidów 02 Lis 2019, 14:54

Serdeczne dzięki.
Też nie wiem co o tym myśleć. Dziwne to trochę, nie wiem czy się obawiać czy nie.
Pełny skan defendera nic nie wykazał. USB Fixa nie użyję bo nie dam rady, nie gada mi gadaczka, poza tym woła o ile pamiętam o pamięci przenośne żeby podpiąć.
Aha, przy okazji dzięki za odpowiedź na priv, tutaj piszę bo jakoś nie ogłem się doklikać do odpowiedzi :)
Kobiety nie zmienisz, możesz zmienić kobietę, ale to nic nie zmieni.

nie potrafie znaleźć darmowego programu który byłby za darmo
---------------------------------------------------------------------------------------
sprawdź czy na systemie jest system
Awatar użytkownika
Łowca Androidów
»ekspert
»ekspert
 
Posty: 2136
Dołączenie: 11 Kwi 2014, 13:03
Pochwały: 105




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 14 gości