Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Exploit/WinampPLS что это и как удалить? (http://forum.oszone.net/showthread.php?t=352830)

Nikki 2 17-01-2023 16:51 3001145
Exploit/WinampPLS что это и как удалить?
 
Здравствуйте, антивирус Panda находит
Код:
(Обнаружен инструмен хакеров Exploit/WinampPLS) Путь: C:\Users\*****\AppData\Local\Waterfox\Profiles\cwqoznrz.default\cache2\entries\405AEAD83E22CC445853B9AC123FAD4391B589AF[405AEAD83E22CC445853B9AC123FAD4391B589AF]
Удаляю, но при следующей проверке Panda находит его снова.
Что это и как удалить?

Sandor 17-01-2023 17:51 3001153
Здравствуйте!

Пока по логам не вижу ничего явно вредоносного.

Деинсталлируйте прекративший поддержку и уязвимый:
Цитата:
Adobe Flash Player 32 ActiveX
Adobe Flash Player 32 NPAPI
Пофиксите в HijackThis следующие строчки:
Код:
O4 - HKCU\..\: [] =         p»6Ґ)tVъК»чq,Щ\Й Ј (file missing)
O22 - Tasks: Adobe Flash Player NPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe -check plugin
O22 - Tasks: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Nikki 2 17-01-2023 22:25 3001167
Adobe Flash Player 32 ActiveX
Adobe Flash Player 32 NPAPI
Удалил.

Строчку
Цитата:
O4 - HKCU\..\: [] = _ _p»6_Ґ)tVъК_»чq,Щ\Й
Ј (file missing)
Профиксил.

Строчек
O22 - Tasks: Adobe Flash Player NPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_Plugin.exe -check plugin
O22 - Tasks: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Не было.
Проблема осталась.

Sandor 18-01-2023 09:42 3001182
Наберитесь терпения. Проблему редко удаётся решить за один-два шага.

Это только очистка некоторого мусора.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {0cbaef0f-0e5c-11ec-9962-bc5ff40e2006} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {0cbaef2a-0e5c-11ec-9962-bc5ff40e2006} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {2dfbc087-5261-11ea-805c-ba9303cc925f} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {30013a08-5f33-11ec-ba65-ce8b826b8a5f} - "F:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {6ec9be09-5e67-11ec-a36a-ff397f61b35f} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {a4e5ed8c-41ae-11ed-9b28-bc5ff40e2006} - "F:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {a990cf74-ee73-11e9-9b9d-fe5ef790b556} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {ec51760e-6aa9-11ea-8bad-f690b51f9d5f} - "J:\WD Drive Unlock.exe" autoplay=true
    HKU\S-1-5-21-1956250444-3940224531-1985807202-1000\...\MountPoints2: {ec51762a-6aa9-11ea-8bad-f690b51f9d5f} - "J:\WD Drive Unlock.exe" autoplay=true
    FirewallRules: [{A67E8587-FC6D-4D47-B91B-F802BB995305}] => (Allow) C:\Users\Юра\AppData\Local\Orbitum\Application\OrbitumUpdater\OrbitumUpdater.exe => Нет файла
    FirewallRules: [{70AD5785-07BD-46B7-B9B3-9933A14131D3}] => (Allow) C:\Users\Юра\AppData\Local\Orbitum\Application\OrbitumUpdater\OrbitumUpdater.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Nikki 2 19-01-2023 16:40 3001290
Похоже, чистка помогла, Panda больше ни чего не обнаруживает.
Пока всё нормально, большое спасибо за помощь.

Sandor 19-01-2023 16:42 3001291
Хорошо, тогда завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Nikki 2 19-01-2023 17:50 3001302
Сделал.

Sandor 19-01-2023 17:53 3001303
На мой взгляд помогла либо очистка временных, либо (скорее всего) обновились базы Панды и больше нет ложного срабатывания (кстати, версия самого антивируса устаревшая).

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.2.1.89 v.4.2.1.89 Внимание! Скачать обновления
Panda Global Protection 2010 v.3.01.00 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
7-Zip 9.25 (x64 edition) v.9.25.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop version 3.2.5 v.3.2.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Light Alloy 4.7.0 (build 1367) v.4.7.0 (build 1367) Внимание! Скачать обновления
Real Alternative 1.46 v.1.46 Данная программа больше не поддерживается разработчиком.
VLC media player 1.0.1 v.1.0.1 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
Pale Moon 29.4.5.1 (x64 en-US) v.29.4.5.1 Внимание! Скачать обновления
SRWare Iron (64-Bit), версия 55.0.2900.1 v.55.0.2900.1 Внимание! Скачать обновления
Maxthon v.6.2.0.2000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Vivaldi v.5.1.2567.73 Внимание! Скачать обновления
Safari v.5.34.57.2 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.10.10.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

По возможности исправьте перечисленное (особенно касательно хотфиксов).

Читайте Рекомендации после лечения.


Время: 23:06.

Время: 23:06.
© OSzone.net 2001-