Подозрение на Occamy.c

[Rustyfication]

Выскочил защитник и выругался на этот файл. Я немного вздрогнул ибо в принципе последний раз качал себе только курейт от веба и все..

https://i.gyazo.com/3f207a9e6f1cb1ed...7d84830cc8.png
https://i.gyazo.com/eb7905ca272b3d98...5ff03fae4d.png Файлик там лежит...
Правда приходили письма в спам мол "комп под угрозой" и даже не одно, да я как-то и не обращал внимания. Ващемта жду вашего ликбеза.

Что-то не могу прикрепить в приложениях лог, в общем кидаю ссылку на ЯДиск.
https://yadi.sk/d/xRkB3iHZOQRjKw

[Info_bot]

Уважаемый(ая) Rustyfication, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Rustyfication]

Если по ссылке недоступен, вроде бы получилось залить свежий лог!

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Rustyfication]

Доброго как никогда!

https://i.gyazo.com/71790060c4ab8480...8de998c4f1.png
https://i.gyazo.com/9ad7b530a3629e17...c4894d49c2.png
Пока проверял ФРСТом пару раз гавкнуло...если utorrent - это я давно качал старую версию utorrent и видимо забыл удалить, то вот второе - ну это программа для ставок)) клиент-приложение вернее сказать

- - - - -Добавлено - - - - -

Логи ФРСТа

[Vvvyg]

Насчёт Occamy предупреждение было верным, а вот по Trojan:Win32/Wacatac.* у защитника много ложных детектов в последнее время.
Проверяйте файлы, на которые ругается защитник, на virustotal.com, но надо анализировать детекты, часто многие антивирусы за компанию записывают безобидные файлы в трояны.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-1660056768-3888574826-31643375-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-1660056768-3888574826-31643375-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
2019-10-11 17:49 - 2019-10-11 17:49 - 000187712 _____ () C:\ProgramData\downloaderSovetnik.exe
2019-10-11 17:49 - 2019-10-11 17:49 - 002457680 _____ (Opera Software) C:\ProgramData\operaSetup.exe
2019-11-13 18:06 - 2019-11-13 18:06 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
2019-10-11 17:49 - 2019-10-11 17:49 - 000187712 _____ () C:\Users\Все пользователи\downloaderSovetnik.exe
2019-10-11 17:49 - 2019-10-11 17:49 - 002457680 _____ (Opera Software) C:\Users\Все пользователи\operaSetup.exe
2019-11-13 18:06 - 2019-11-13 18:06 - 000187712 _____ () C:\Users\Все пользователи\yandexBrowserDownloader.exe
2018-06-29 17:55 - 2018-06-29 17:55 - 000000048 ____H () C:\Program Files (x86)\fjv9royztt.dat
2019-10-16 00:46 - 2019-10-16 00:46 - 000000040 _____ () C:\Users\пк\AppData\Local\update_progress.txt
AlternateDataStreams: C:\ProgramData\TEMP:2CB9631F [134]
AlternateDataStreams: C:\ProgramData\TEMP:89C6F032 [121]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
Revolution-NoxPlayer.lnk [0]
HKU\S-1-5-21-1660056768-3888574826-31643375-1001\...\StartupApproved\Run: => "McAfeeSafeConnect"
FirewallRules: [UDP Query User{C2B39B82-805B-439C-9D26-8FCFDE7E4BA4}C:\users\пк\desktop\sdi\sdi_x64_r2000.exe] => (Allow) C:\users\пк\desktop\sdi\sdi_x64_r2000.exe => No File
FirewallRules: [TCP Query User{51EB93C0-C90F-488B-8E5F-DDF60DE4CD01}C:\users\пк\desktop\sdi\sdi_x64_r2000.exe] => (Allow) C:\users\пк\desktop\sdi\sdi_x64_r2000.exe => No File
FirewallRules: [UDP Query User{B233014C-B8B3-4D70-922C-E81C15D68A17}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCP Query User{024F9968-137F-45EA-A6BC-92528B74E4B7}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => No File
FirewallRules: [{899A9721-D19C-4B46-9602-FDBF9C09CBFA}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => No File
FirewallRules: [UDP Query User{18F143CC-3449-4E86-B431-34726423930A}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCPFirewallRules: [{D2B4D850-429B-40EC-A568-2C68AF6A8C00}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe => No File
FirewallRules: [TCP Query User{1C2EEBEC-7D54-44A2-952C-3F6F60C6380B}D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe] => (Allow) D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe => No File
FirewallRules: [UDP Query User{DE2D3ACA-971A-4CC6-ABDA-7A14A2602A50}D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe] => (Allow) D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe => No File
FirewallRules: [{9F4AEF6F-0F23-49E6-96B8-7A7B3E195C0A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\CSNZ\Bin\cstrike-online.exe => No File
FirewallRules: [{EC8BD21B-AAFA-41C5-84B8-2F15FF8D495E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\CSNZ\Bin\cstrike-online.exe => No File
FirewallRules: [TCP Query User{BE6EAA1D-F7AD-4059-8047-3C55558A793D}C:\users\пк\desktop\новая папка\strongdc.exe] => (Allow) C:\users\пк\desktop\новая папка\strongdc.exe => No File
FirewallRules: [UDP Query User{94CAF2F3-88DB-41EE-9FB3-585C42214555}C:\users\пк\desktop\новая папка\strongdc.exe] => (Allow) C:\users\пк\desktop\новая папка\strongdc.exe => No File
FirewallRules: [{1D59B27A-9102-4D8F-85B4-3E35C29FBCD2}] => (Allow) C:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => No File
FirewallRules: [{82E61491-D23A-4605-98DB-45031E6F91AF}] => (Allow) C:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => No File
FirewallRules: [{ED48021C-76BB-4135-8219-4843C6977680}] => (Allow) C:\KOGGAMES\Elsword\data\x2.exe => No File
FirewallRules: [{A5F98639-F241-43A9-A4D1-D1B404442005}] => (Allow) C:\KOGGAMES\Elsword\data\x2.exe => No File
FirewallRules: [{BD3FD09E-3040-4E30-8737-E63B52D18885}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => No File
FirewallRules: [UDP Query User{45929B4C-57A3-4657-853C-88FDE2DD2918}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => No File
FirewallRules: [TCP Query User{28EB2FEB-2A0F-4FD0-91E8-3187C58C12A1}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => No File
FirewallRules: [UDP Query User{04CB81F3-5C11-49BD-B085-829296483448}C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe] => (Allow) C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe => No File
FirewallRules: [TCP Query User{0D9B8AE5-09B1-4FBF-B7FD-F928D8FB3B8E}C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe] => (Allow) C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe => No File
FirewallRules: [UDP Query User{82EA5128-A4E2-484B-9B2A-B32966BCEB56}D:\000\hirezgames\smite\binaries\win64\smite.exe] => (Allow) D:\000\hirezgames\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCP Query User{FCB9D8C3-3C30-4E0D-B6E5-901BC37CC997}D:\000\hirezgames\smite\binaries\win64\smite.exe] => (Allow) D:\000\hirezgames\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCP Query User{5B536145-CD4F-4829-9AA3-762DAB3C599D}D:\000\homefront the revolution\bin64\homefront2_release.exe] => (Allow) D:\000\homefront the revolution\bin64\homefront2_release.exe => No File
FirewallRules: [UDP Query User{71061109-A06E-4B94-AC75-E3CF0B4B089A}D:\000\homefront the revolution\bin64\homefront2_release.exe] => (Allow) D:\000\homefront the revolution\bin64\homefront2_release.exe => No File
FirewallRules: [{4FEE13FD-1899-4DB9-AB55-77B8D3AF15C7}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\ElementsPanelDaemon.exe => No File
FirewallRules: [{2805C0E9-257E-460A-9C39-EF1902C0BFD3}] => (Allow) C:\Users\пк\AppData\Roaming\Zoom\bin\airhost.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог Malwarebytes AdwCleaner.

[Rustyfication]

Фикс - Тыркнул, MBAM- тыркнул.

p.s: Защитник еще всяких низких угроз нашел, типа exe установочных.. думаю это не критично.
https://i.gyazo.com/c66bca0f5b8674ad...726ea118c6.png
https://i.gyazo.com/9d52b83be229b737...5be4f3da27.png
https://i.gyazo.com/e6e6896780340e27...f210039235.png
https://i.gyazo.com/11aa7cf35332e24f...90214c5539.png
https://i.gyazo.com/dc3d5cf1fbef6cd7...ba984f67b0.png

Главное мне интересно - эта фигня у меня сидела почти год на ноутбуке и никак себя не выдавала, или же у меня защитник кушал вафельки и ничего мне не выдавал... А главное откуда! Вообще нигде не лазаю там где не нужно.. Парадоксально.

[Vvvyg]

Обновились базы - появился детект, логично.

Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" ничего не отмечайте.
Затем нажмите Карантин (Quarantine) и по окончании очистки перезагрузите систему по требованию программы.

После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C01].txt, прикрепите к своему следующему сообщению.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[Rustyfication]

Если вы про этот файлик - уже прокарантинил, удалил, перезагрузился. Сейчас переименую и удалю.

[Vvvyg]

Плохого, в общем, не видно

Для профилактики очистите кеш и cookie:
в Хроме.
в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".
В Яндекс.Браузере удалите куки и кэш.
Как очистить кэш Firefox.
Удаление недавней истории веб-сёрфинга, поиска и загрузок.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Rustyfication]

Я не пользуюсь Firefox и Оперой практически, они стоят чисто как запаска. Хорошо почищу.

[Vvvyg]

Тем не менее, в целях безопасности, "запаски" тоже лучше обновлять

Mozilla Firefox 76.0.1 (x64 ru) v.76.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Microsoft Edge v.84.0.522.52 Внимание! Скачать обновления

Java тоже лучше обновлять, в ней нередко критические дыры находят

Java 8 Update 251 v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^

В Zoom много проблем безопасности находили:

Zoom v.5.1 Внимание! Скачать обновления

WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления

Архиваторы тоже используются в нехороших целях:
Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей.
Уязвимость в WinRAR активно эксплуатируется злоумышленниками.

Игровой центр v.4.1508 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Tencent Gaming Buddy v.1.0.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.10.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.

Если не ах как нужно, лучше удалить.

Всё на этом.

[Rustyfication]

Для Edge вчера приползло обновление официальное, тут думаю обновился.
Мозиллу обязательно.
Java - это сделаю.
Zoom - тоже
Winrar - я им почти не пользуюсь, надо да, обновлю.
Все остальное почищу

А пароли и прочее менять не нужно?

И да, тот архив с 55.ехе все еще лежит на диске C. Удалить его?

[Vvvyg]

А пароли и прочее менять не нужно?

Поменяйте для профилактики, хотя явных признаков утечки не было.

И да, тот архив с 55.ехе все еще лежит на диске C. Удалить его?

Загрузите его на virustotal.com распакованный лучше, и дайте ссылку на результат проверки.

[Rustyfication]

Хитрый падла.
https://gyazo.com/488d393b42eeb6f62c3ea9683528f762

Окей по другому поступлю - вот ссылочка на него на ЯДиск. затёр от греха
Посмотрите сами)

Поменяйте для профилактики, хотя явных признаков утечки не было.

Блин, просто у меня ко всему очень много паролей, замучаюся.. Хорошо, сделаю.

[Vvvyg]

Взламывать пароль я точно не буду
Удалите, там, скорее, всего, adware какой-то, возможно, устанавливающий в т. ч. расширение Mallbery: умный помощник получения кэшбэка! - сами ставили?

[Rustyfication]

Взламывать пароль я точно не буду
Удалите, там, скорее, всего, adware какой-то, возможно, устанавливающий в т. ч. расширение Mallbery: умный помощник получения кэшбэка! - сами ставили?

Я думал что можно открыть этот чудо-ларец.
Впервые слышу, не знаю даже где стоит и как найти.

upd: ааа..Нашел в FF, удалил.

Ну вроде бы компудахтеру полегчало, но темку не закрывайте я еще денек понаблюдаю все-таки, на всякий пожарный.
В любом случае спасибо за уделенное время.

[Vvvyg]

В Хроме тоже это расширение.

[Rustyfication]

Все спокойно. Закрываем. Спасибо громадное, хорошо что я раз в полгода на всякий случай прохожу проверки. В прошлый раз главное ничего не нашло, удивительно конечно с вирусами в последнее время!

[Vvvyg]

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.