Добавляются скрипты на сайт при модерации через админку

[Denis Kolesnikov]

Здравствуйте!
Возникла такая проблема: при редактировании сайта через админку (wordpress) в записях добавляется какой-то левый скрипт. Редактировали через браузер Opera.
38a4f4a900.png
Проблема только на этом компе, с других все нормально.

[Info_bot]

Уважаемый(ая) Denis Kolesnikov, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Users\Компьютер\AppData\Roaming\PBot\launchall.py', '32');
 DeleteFileMask('c:\users\компьютер\appdata\roaming\pbot', '*', true);
 DeleteDirectory('c:\users\компьютер\appdata\roaming\pbot');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Сделайте лог Malwarebytes AdwCleaner.

Wordpress какой версии, уязвимости закрыты?

[Denis Kolesnikov]

Версия 4.7.2 , уязвимости вроде закрыты.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Denis Kolesnikov]

Сделал

[Vvvyg]

От файла FRST.txt только обрывок, переделайте.

[Denis Kolesnikov]

Переделал

[Vvvyg]

Что-то по Opera в лог не попало ничего.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
2017-02-11 17:27 - 2017-02-11 17:27 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign428cdcc5b2f66588
2017-02-11 17:19 - 2017-02-11 17:19 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign108479fff6a5f377
2017-02-11 17:18 - 2017-02-11 17:18 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign4523c8b1469e99b9
2017-02-11 17:17 - 2017-02-11 17:17 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign4bc5fcdfc8c910a4
2017-02-11 17:17 - 2017-02-11 17:17 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign11689613f3d8a082
2017-01-30 23:51 - 2017-01-30 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignf83d72ef467272fe
2017-01-30 23:51 - 2017-01-30 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignd09037daa246254a
2017-01-30 23:51 - 2017-01-30 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign9f9bb74695957d94
2017-01-30 23:51 - 2017-01-30 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign401972dc9af1593d
2017-01-28 20:49 - 2017-01-28 20:49 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign9e19d1961d59138b
2017-01-28 20:48 - 2017-01-28 20:48 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign0da926bdca758b6b
2017-01-28 20:40 - 2017-01-28 20:40 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignb6aa82efb24c3e73
2017-01-28 20:40 - 2017-01-28 20:40 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign12da2b3506e5f398
2017-01-27 00:27 - 2017-01-27 00:27 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign3cb08e03e7ab151c
2017-01-27 00:22 - 2017-01-27 00:22 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign9796b1f977a3cd6a
2017-01-27 00:16 - 2017-01-27 00:16 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign8a9731fc45d70417
2017-01-27 00:15 - 2017-01-27 00:15 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignf1a2ce1a117491ab
2017-01-27 00:15 - 2017-01-27 00:15 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign292bc39ee2f25011
2017-01-27 00:15 - 2017-01-27 00:15 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign26619920f713e678
2017-01-27 00:15 - 2017-01-27 00:15 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign0788f8e0571fcb48
2017-01-26 23:40 - 2017-01-26 23:40 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigne064ec7355820238
2017-01-26 23:39 - 2017-01-26 23:39 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignd3b35e09009addc2
2017-01-26 23:38 - 2017-01-26 23:38 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignc31d013090e31f94
2017-01-26 23:38 - 2017-01-26 23:38 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign8f2b32d3b48f4859
2017-01-20 22:49 - 2017-01-20 22:49 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign205a69d43828278d
2017-01-20 22:48 - 2017-01-20 22:48 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign1d9f4ed296594dcc
2017-01-20 22:42 - 2017-01-20 22:42 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigne2d60543a9431288
2017-01-20 22:42 - 2017-01-20 22:42 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign8cf55fb0f7aa5f18
2017-01-20 22:42 - 2017-01-20 22:42 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign81845a39983befb0
2017-01-20 22:27 - 2017-01-20 22:27 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign919d0cec66de8642
2017-01-20 22:27 - 2017-01-20 22:27 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign5d611d3ac44a14f6
2017-01-20 22:26 - 2017-01-20 22:26 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign8bc9db821526902d
2017-01-17 23:51 - 2017-01-17 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign67f2f869eabd7949
2017-01-17 23:51 - 2017-01-17 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign2933be1379ef39a6
2017-01-17 23:50 - 2017-01-17 23:50 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigndfb04f84ec12839c
2017-01-17 23:50 - 2017-01-17 23:50 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignda63f5a697415cc6
2017-01-17 23:38 - 2017-01-17 23:38 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignbf932b1d6a7edf6e
2017-01-17 23:38 - 2017-01-17 23:38 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign5be8824854d79d37
2017-01-17 23:37 - 2017-01-17 23:37 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignf6e398a7c99c042f
2017-01-17 23:37 - 2017-01-17 23:37 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign297eed7b8baa9e86
2017-01-14 23:57 - 2017-01-14 23:57 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigndc6a218e89f19f2b
2017-01-14 23:57 - 2017-01-14 23:57 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign9ec057d6f765001a
2017-01-14 23:57 - 2017-01-14 23:57 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign80131ad523cec845
2017-01-14 23:57 - 2017-01-14 23:57 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign209ed813b76c267e
2017-01-14 23:54 - 2017-01-14 23:54 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignccf5f332e8de3049
2017-01-14 23:54 - 2017-01-14 23:54 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign27d7b996f2e8503a
2017-01-14 23:53 - 2017-01-14 23:53 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign4988ed6d7898d7b5
2017-01-14 23:53 - 2017-01-14 23:53 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign2c876847242e074b
2017-01-14 23:51 - 2017-01-14 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign9a99a89dd99dcc44
2017-01-14 23:51 - 2017-01-14 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign783cb84a868eda58
2017-01-14 23:51 - 2017-01-14 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign0e79ba8759551718
2017-01-14 23:51 - 2017-01-14 23:51 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign08ab672a463ed935
2017-01-14 23:44 - 2017-01-14 23:44 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign2b40c8ec0ab88caa
2017-01-14 23:39 - 2017-01-14 23:39 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigne2a56dacc45ef485
2017-01-14 23:39 - 2017-01-14 23:39 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigna1bbc824ec6b4f2b
2017-01-14 23:39 - 2017-01-14 23:39 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign329cf72bba4a630e
2017-01-14 23:00 - 2017-01-14 23:00 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign579dd56fa37debbe
2017-01-14 22:47 - 2017-01-14 22:47 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignf0223bfd3c4699d0
2017-01-14 22:47 - 2017-01-14 22:47 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignc625f9efcdb9a686
2017-01-14 22:47 - 2017-01-14 22:47 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignb87e75c00d137d93
2017-01-14 22:42 - 2017-01-14 22:42 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign8d4b29f0f09eb432
2017-01-14 22:39 - 2017-01-14 22:39 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigne475df5d4aa171f0
2017-01-14 22:39 - 2017-01-14 22:39 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsignc4fdcdee8e9afaf3
2017-01-14 22:39 - 2017-01-14 22:39 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign585cfd859abcbd34
2017-01-09 16:28 - 2017-01-09 16:28 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign7838f3a444705011
2017-01-09 16:28 - 2017-01-09 16:28 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign68a2a8dcb7201761
2017-01-09 16:28 - 2017-01-09 16:28 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign66f1888c7301673c
2017-01-09 16:28 - 2017-01-09 16:28 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign4de3315ed39e7ebc
2017-01-09 16:12 - 2017-01-09 16:12 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigncc220e67814ef965
2017-01-09 15:48 - 2017-01-09 15:48 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign794c5c35e5835b9d
2017-01-09 15:48 - 2017-01-09 15:48 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsign647aa688f7c0aa72
2017-01-09 15:47 - 2017-01-09 15:47 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigne67764ba9e8d10ba
2017-01-09 15:47 - 2017-01-09 15:47 - 00000000 ____D C:\Users\Компьютер\AppData\Local\Tempzxpsigndcb8ec567604cdc4
2017-02-19 17:11 - 2013-05-28 21:05 - 00000000 ____D C:\ProgramData\boost_interprocess
2016-12-29 11:55 - 2016-12-29 11:55 - 3036376 ____N () C:\Users\Компьютер\AppData\Local\Temp\A0UGNz0AtZf2.exe
2016-12-29 11:57 - 2016-12-29 11:57 - 0401128 ____N (Mail.Ru) C:\Users\Компьютер\AppData\Local\Temp\FHzfm92HiaDJ.exe
2016-12-30 18:13 - 2016-12-30 18:13 - 4249448 _____ (Microsoft Corporation) C:\Users\Компьютер\AppData\Local\Temp\Setup-punto.exe
2017-02-03 08:10 - 2016-11-18 01:42 - 0506728 _____ (Yandex LLC) C:\Users\Компьютер\AppData\Local\Temp\yupdate-exec-punto.exe
Task: {0CD4536B-86F7-4412-AB08-95F9200AAB15} - \Root Standart Manager -> No File <==== ATTENTION
Task: {0EEF2C4D-CADB-4E5E-8320-107759AB23CF} - \Base System Manager -> No File <==== ATTENTION
Task: {8AA847F3-1A0D-40F6-9907-834BD50B631C} - \Trusted Current Helper -> No File <==== ATTENTION
Task: {E5287C18-F958-4765-ACA8-37EC7B3EF011} - \svshost -> No File <==== ATTENTION
CMD:cmd /c dir /D /B c:\Users\Компьютер\AppData\Roaming\Opera Software\Opera Stable\Extensions
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Denis Kolesnikov]

сделал

[Vvvyg]

По опере я ничего у вас в системе не вижу, в стандартных каталогах, по крайней мере. Так что и рекомендовать от балды могу только отключить все расширения (если есть), либо переустановить удалив полностью, с пользовательскими данными.