Подозрение на Occamy.c

Выскочил защитник и выругался на этот файл. Я немного вздрогнул ибо в принципе последний раз качал себе только курейт от веба и все..

[url]https://i.gyazo.com/3f207a9e6f1cb1ed3b0c027d84830cc8.png[/url]
[url]https://i.gyazo.com/eb7905ca272b3d98f7d10d5ff03fae4d.png[/url] Файлик там лежит...
Правда приходили письма в спам мол "комп под угрозой" и даже не одно, да я как-то и не обращал внимания. Ващемта жду вашего ликбеза.

Что-то не могу прикрепить в приложениях лог, в общем кидаю ссылку на ЯДиск.
[url]https://yadi.sk/d/xRkB3iHZOQRjKw[/url]

Уважаемый(ая) [B]Rustyfication[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Если по ссылке недоступен, вроде бы получилось залить свежий лог!

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Доброго как никогда!

[url]https://i.gyazo.com/71790060c4ab8480aedb008de998c4f1.png[/url]
[url]https://i.gyazo.com/9ad7b530a3629e17ffc30cc4894d49c2.png[/url]
Пока проверял ФРСТом пару раз гавкнуло...если utorrent - это я давно качал старую версию utorrent и видимо забыл удалить, то вот второе - ну это программа для ставок)) клиент-приложение вернее сказать

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Логи ФРСТа

Насчёт Occamy предупреждение было верным, а вот по Trojan:Win32/Wacatac.* у защитника много ложных детектов в последнее время.
Проверяйте файлы, на которые ругается защитник, на virustotal.com, но надо анализировать детекты, часто многие антивирусы за компанию записывают безобидные файлы в трояны.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-1660056768-3888574826-31643375-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-1660056768-3888574826-31643375-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
CHR HKLM-x32\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam]
2019-10-11 17:49 - 2019-10-11 17:49 - 000187712 _____ () C:\ProgramData\downloaderSovetnik.exe
2019-10-11 17:49 - 2019-10-11 17:49 - 002457680 _____ (Opera Software) C:\ProgramData\operaSetup.exe
2019-11-13 18:06 - 2019-11-13 18:06 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
2019-10-11 17:49 - 2019-10-11 17:49 - 000187712 _____ () C:\Users\Все пользователи\downloaderSovetnik.exe
2019-10-11 17:49 - 2019-10-11 17:49 - 002457680 _____ (Opera Software) C:\Users\Все пользователи\operaSetup.exe
2019-11-13 18:06 - 2019-11-13 18:06 - 000187712 _____ () C:\Users\Все пользователи\yandexBrowserDownloader.exe
2018-06-29 17:55 - 2018-06-29 17:55 - 000000048 ____H () C:\Program Files (x86)\fjv9royztt.dat
2019-10-16 00:46 - 2019-10-16 00:46 - 000000040 _____ () C:\Users\пк\AppData\Local\update_progress.txt
AlternateDataStreams: C:\ProgramData\TEMP:2CB9631F [134]
AlternateDataStreams: C:\ProgramData\TEMP:89C6F032 [121]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
Revolution-NoxPlayer.lnk [0]
HKU\S-1-5-21-1660056768-3888574826-31643375-1001\...\StartupApproved\Run: => "McAfeeSafeConnect"
FirewallRules: [UDP Query User{C2B39B82-805B-439C-9D26-8FCFDE7E4BA4}C:\users\пк\desktop\sdi\sdi_x64_r2000.exe] => (Allow) C:\users\пк\desktop\sdi\sdi_x64_r2000.exe => No File
FirewallRules: [TCP Query User{51EB93C0-C90F-488B-8E5F-DDF60DE4CD01}C:\users\пк\desktop\sdi\sdi_x64_r2000.exe] => (Allow) C:\users\пк\desktop\sdi\sdi_x64_r2000.exe => No File
FirewallRules: [UDP Query User{B233014C-B8B3-4D70-922C-E81C15D68A17}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCP Query User{024F9968-137F-45EA-A6BC-92528B74E4B7}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => No File
FirewallRules: [{899A9721-D19C-4B46-9602-FDBF9C09CBFA}] => (Allow) C:\Program Files\BlueStacks\HD-Player.exe => No File
FirewallRules: [UDP Query User{18F143CC-3449-4E86-B431-34726423930A}C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCPFirewallRules: [{D2B4D850-429B-40EC-A568-2C68AF6A8C00}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe => No File
FirewallRules: [TCP Query User{1C2EEBEC-7D54-44A2-952C-3F6F60C6380B}D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe] => (Allow) D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe => No File
FirewallRules: [UDP Query User{DE2D3ACA-971A-4CC6-ABDA-7A14A2602A50}D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe] => (Allow) D:\000\need.for.speed.heat.deluxe.edition.origin.rip-insaneramzes\need for speed heat\needforspeedheat.exe => No File
FirewallRules: [{9F4AEF6F-0F23-49E6-96B8-7A7B3E195C0A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\CSNZ\Bin\cstrike-online.exe => No File
FirewallRules: [{EC8BD21B-AAFA-41C5-84B8-2F15FF8D495E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\CSNZ\Bin\cstrike-online.exe => No File
FirewallRules: [TCP Query User{BE6EAA1D-F7AD-4059-8047-3C55558A793D}C:\users\пк\desktop\новая папка\strongdc.exe] => (Allow) C:\users\пк\desktop\новая папка\strongdc.exe => No File
FirewallRules: [UDP Query User{94CAF2F3-88DB-41EE-9FB3-585C42214555}C:\users\пк\desktop\новая папка\strongdc.exe] => (Allow) C:\users\пк\desktop\новая папка\strongdc.exe => No File
FirewallRules: [{1D59B27A-9102-4D8F-85B4-3E35C29FBCD2}] => (Allow) C:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => No File
FirewallRules: [{82E61491-D23A-4605-98DB-45031E6F91AF}] => (Allow) C:\Program Files (x86)\Origin Games\Apex\EasyAntiCheat_launcher.exe => No File
FirewallRules: [{ED48021C-76BB-4135-8219-4843C6977680}] => (Allow) C:\KOGGAMES\Elsword\data\x2.exe => No File
FirewallRules: [{A5F98639-F241-43A9-A4D1-D1B404442005}] => (Allow) C:\KOGGAMES\Elsword\data\x2.exe => No File
FirewallRules: [{BD3FD09E-3040-4E30-8737-E63B52D18885}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => No File
FirewallRules: [UDP Query User{45929B4C-57A3-4657-853C-88FDE2DD2918}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => No File
FirewallRules: [TCP Query User{28EB2FEB-2A0F-4FD0-91E8-3187C58C12A1}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe => No File
FirewallRules: [UDP Query User{04CB81F3-5C11-49BD-B085-829296483448}C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe] => (Allow) C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe => No File
FirewallRules: [TCP Query User{0D9B8AE5-09B1-4FBF-B7FD-F928D8FB3B8E}C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe] => (Allow) C:\riot games\league of legends\rads\projects\league_client\releases\0.0.0.160\deploy\leagueclient.exe => No File
FirewallRules: [UDP Query User{82EA5128-A4E2-484B-9B2A-B32966BCEB56}D:\000\hirezgames\smite\binaries\win64\smite.exe] => (Allow) D:\000\hirezgames\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCP Query User{FCB9D8C3-3C30-4E0D-B6E5-901BC37CC997}D:\000\hirezgames\smite\binaries\win64\smite.exe] => (Allow) D:\000\hirezgames\smite\binaries\win64\smite.exe => No File
FirewallRules: [TCP Query User{5B536145-CD4F-4829-9AA3-762DAB3C599D}D:\000\homefront the revolution\bin64\homefront2_release.exe] => (Allow) D:\000\homefront the revolution\bin64\homefront2_release.exe => No File
FirewallRules: [UDP Query User{71061109-A06E-4B94-AC75-E3CF0B4B089A}D:\000\homefront the revolution\bin64\homefront2_release.exe] => (Allow) D:\000\homefront the revolution\bin64\homefront2_release.exe => No File
FirewallRules: [{4FEE13FD-1899-4DB9-AB55-77B8D3AF15C7}] => (Allow) C:\Program Files\Blackmagic Design\DaVinci Resolve\ElementsPanelDaemon.exe => No File
FirewallRules: [{2805C0E9-257E-460A-9C39-EF1902C0BFD3}] => (Allow) C:\Users\пк\AppData\Roaming\Zoom\bin\airhost.exe => No File
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].

Фикс - Тыркнул, MBAM- тыркнул.

p.s: Защитник еще всяких низких угроз нашел, типа exe установочных.. думаю это не критично.
[url]https://i.gyazo.com/c66bca0f5b8674ad4cc11e726ea118c6.png[/url]
[url]https://i.gyazo.com/9d52b83be229b737ffb9c75be4f3da27.png[/url]
[url]https://i.gyazo.com/e6e6896780340e27abe228f210039235.png[/url]
[url]https://i.gyazo.com/11aa7cf35332e24ff93fa390214c5539.png[/url]
[url]https://i.gyazo.com/dc3d5cf1fbef6cd70569f3ba984f67b0.png[/url]

Главное мне интересно - эта фигня у меня сидела почти год на ноутбуке и никак себя не выдавала, или же у меня защитник кушал вафельки и ничего мне не выдавал... А главное откуда! Вообще нигде не лазаю там где не нужно.. Парадоксально.

Обновились базы - появился детект, логично.

Если Вы уже закрыли приложение, запустите повторное сканирование в [B]Malwarebytes AdwCleaner[/B], установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "[B]Сбросить политики Chrome (Reset Chrome Policies[/B]". В разделе "Предустановленные программы" [B]ничего не отмечайте[/B].
Затем нажмите [B]Карантин[/B] ([B]Quarantine[/B]) и по окончании очистки перезагрузите систему по требованию программы.

После перезагрузки в меню [B]Файлы журналов[/B] программы будет лог очистки, файл AdwCleaner[C01].txt, прикрепите к своему следующему сообщению.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Если вы про этот файлик - уже прокарантинил, удалил, перезагрузился. Сейчас переименую и удалю.

Плохого, в общем, не видно

Для профилактики очистите кеш и cookie:
[URL="https://support.google.com/accounts/answer/32050?co=GENIE.Platform%3DDesktop&hl=ru"]в Хроме[/URL].
в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".
В Яндекс.Браузере удалите [URL="https://yandex.ru/support/yabrowser/privacy/cookie.xml"]куки[/URL] и [URL="https://yandex.ru/support/yabrowser/privacy/cache.xml#clearing-cache"]кэш[/URL].
[URL="https://support.mozilla.org/ru/kb/kak-ochistit-kesh-firefox"]Как очистить кэш Firefox[/URL].
[URL="https://support.mozilla.org/ru/kb/ctiranie-nedavnej-istorii-veb-syorfinga-poiska-i-z"]Удаление недавней истории веб-сёрфинга, поиска и загрузок[/URL].

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Я не пользуюсь Firefox и Оперой практически, они стоят чисто как запаска. Хорошо почищу.

Тем не менее, в целях безопасности, "запаски" тоже лучше обновлять[QUOTE]Mozilla Firefox 76.0.1 (x64 ru) v.76.0.1 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color]
Microsoft Edge v.84.0.522.52 [color=red][b]Внимание! [url=https://www.microsoft.com/en-us/edge]Скачать обновления[/url][/b][/color][/QUOTE]

Java тоже лучше обновлять, в ней нередко критические дыры находят[QUOTE]Java 8 Update 251 v.8.0.2510.8 [color=red][b]Внимание! [url=https://www.java.com/ru/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^[/b][/color][/QUOTE]

В Zoom много проблем безопасности находили:[QUOTE]Zoom v.5.1 [color=red][b]Внимание! [url=https://zoom.us/client/latest/ZoomInstaller.exe]Скачать обновления[/url][/b][/color][/QUOTE]

[QUOTE]WinRAR 5.50 (64-разрядная) v.5.50.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]
Архиваторы тоже используются в нехороших целях:
[URL="https://www.anti-malware.ru/news/2019-02-21-1447/28944"]Дыра в WinRAR более 19 лет угрожала 500 миллионам пользователей[/URL].
[URL="https://www.securitylab.ru/news/498365.php"]Уязвимость в WinRAR активно эксплуатируется злоумышленниками[/URL].

[QUOTE]Игровой центр v.4.1508 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Tencent Gaming Buddy v.1.0.0.1 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.10.2 [color=red][b]Внимание! Подозрение на Adware![/b][/color] Если данная программа Вам неизвестна, рекомендуется ее деинсталляция.[/QUOTE]Если не ах как нужно, лучше удалить.

Всё на этом.

Для Edge вчера приползло обновление официальное, тут думаю обновился.
Мозиллу обязательно.
Java - это сделаю.
Zoom - тоже
Winrar - я им почти не пользуюсь, надо да, обновлю.
Все остальное почищу

А пароли и прочее менять не нужно?

И да, тот архив с 55.ехе все еще лежит на диске C. Удалить его?

[QUOTE=Rustyfication;1514528]А пароли и прочее менять не нужно?[/QUOTE]Поменяйте для профилактики, хотя явных признаков утечки не было.

[QUOTE=Rustyfication;1514528]И да, тот архив с 55.ехе все еще лежит на диске C. Удалить его?[/QUOTE]Загрузите его на virustotal.com распакованный лучше, и дайте ссылку на результат проверки.

Хитрый падла.
[url]https://gyazo.com/488d393b42eeb6f62c3ea9683528f762[/url]

Окей по другому поступлю - вот ссылочка на него на ЯДиск. [url][I]затёр от греха[/I][/url]
Посмотрите сами)

[QUOTE=Vvvyg;1514536]Поменяйте для профилактики, хотя явных признаков утечки не было.[/QUOTE]

Блин, просто у меня ко всему очень много паролей, замучаюся.. Хорошо, сделаю.

Взламывать пароль я точно не буду :?
Удалите, там, скорее, всего, adware какой-то, возможно, устанавливающий в т. ч. расширение Mallbery: умный помощник получения кэшбэка! - сами ставили?

[QUOTE=Vvvyg;1514539]Взламывать пароль я точно не буду :?
Удалите, там, скорее, всего, adware какой-то, возможно, устанавливающий в т. ч. расширение Mallbery: умный помощник получения кэшбэка! - сами ставили?[/QUOTE]

Я думал что можно открыть этот чудо-ларец.
Впервые слышу, не знаю даже где стоит и как найти.

upd: ааа..Нашел в FF, удалил.

Ну вроде бы компудахтеру полегчало, но темку не закрывайте я еще денек понаблюдаю все-таки, на всякий пожарный.
В любом случае спасибо за уделенное время.

В Хроме тоже это расширение.

Все спокойно. Закрываем. Спасибо громадное, хорошо что я раз в полгода на всякий случай прохожу проверки. В прошлый раз главное ничего не нашло, удивительно конечно с вирусами в последнее время!

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.