Apple Push в засаде (UDS:DangerousObject.Multi.Generic)

[ArtyomYurakov]

Проблема началась в ночь на 9 апреля (UTC+7). Согласно 30-дневному отчёту и данным из самой антивирусной программы Kaspersky Free for Windows, было найдено несколько случаев заражения. В отчёте есть такие данные: файл: C:\Windows\SysWOW64\el-GR\S-1-5-29\Riched32.dll  Программа: Apple Push, Тип объекта: UDS:DangerousObject.Multi.Generic. Все найденные заражённые объекты были помещены в карантин, а затем удалены. Две последние полные проверки показали отсутствие заражения. Однако, антивирус по прежнему сообщает о том, что программа Apple Push пытается открывать опасные веб-адреса приблизительно каждые 15 минут. При этом: ни в автозагрузках windows, ни в диспетчере задач, ни в списке установленных программ нет ни одной программы от Apple. Вызов опасных веб-адресов происходит не зависимо от того работает браузер или нет.

Что это такое, где лежит, и как это нечто можно выгрызти?

Антивирус: Kaspersky Free for Windows

ОС: Windows 8.1

CollectionLog-2020.04.13-21.23.zip

KAV-log30.txt

Изменено 13 апреля, 2020 пользователем ArtyomYurakov

[Sandor]

Здравствуйте!

 

Если есть такой файл

C:\Windows\NodeService\0\run.js

аккуратно его упакуйте в архив и прикрепите к следующему сообщению.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ArtyomYurakov]

Здравствуйте, Sandor. Выполнил все инструкции в указанной последовательности, при выключенном Брандмауэре Windows и приостановленной защите KAV.

 

Программа AdwCleaner ничего не нашла, так как впервые запускалась мной 12 апреля. Тогда было найдено 4 записи в реестре и 4 URL в Хроме. Для объективности картины прилагаю и тот отчёт. 

 

На данный момент KAV продолжает находить и блокировать переходы по опасным ссылкам, запускаемым программой видимой как "Apple Push" в 0, 15, 30 и 45 минут каждого часа. Я покрутил туда-сюда часы на компьютере. Она системное время использует для запросов.

Run_js.zip

AdwCleanerS00.txt

AdwCleanerS00_120420.txt

Изменено 14 апреля, 2020 пользователем ArtyomYurakov

[Sandor]

KAV продолжает находить и блокировать переходы по опасным ссылкам

При этом открыт какой-либо браузер? Если да, какой?

 

Ваш провайдер случайно не "Ростелеком"?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[ArtyomYurakov]

В-основном, использую Chrome, редко IE.

 

Поведение проявляется такое:

 

1. Переходы по опасным ссылкам обнаруживаются KAV при открытом или закрытом браузере (Chrome).

2. Переходы по опасным ссылкам обнаруживаются, если после перезагрузки ОС пользователем не выполнялось никаких действий, кроме включения интернет-соединения.

3. Если интернет-соединение выключено, то никаких сообщений KAV или других предупреждений о попытке программы установить связь не появляется. Всё тихо.

4. Определённым образом реагирует на изменение системного времени. Переходить по опасным ссылкам оно пытается только при перемотке времени вперёд, как будто хранит в памяти время прошлого запроса. Однако, горячая перезагрузка Windows стирает эту память. 

 

Провайдер DOM.RU. Доступ от Ростелеком уже много лет не использую.

FRST.txt

Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  Task: {F92E45AD-BE23-4E52-97E7-3226D2F43C7A} - System32\Tasks\MoonTitle => C:\Windows\NodeService\0\node.exe [20769944 2018-12-30] (Node.js Foundation -> Node.js)
  Toolbar: HKU\S-1-5-21-1791092331-3233558559-95803741-1001 -> No Name - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[ArtyomYurakov]

Кажется, я ошибся при запуске FRST64.exe. Запуск был через обычное двойное нажатие. Хотя, учётной записи пользователя присвоены права администратора.

 

Перед нажатием "Fix" присланный код был скопирован в буфер обмена указанным способом. Выполнено единожды.

 

Поведение "Apple Push" без изменений.

 

Fixlog.txt

[Sandor]

К сети подключаетесь через роутер? Если да, один компьютер?

[Александр Кравчук]

доброго времени суток, со вчерашнего дня у меня абсолютно таже проблема, только не было случаев заражения, 

вэб-антивирус присылает уведомления о блокировке перехода по ссылке программы Apple Push 

ни один браузер не включен, если только в фоне

процедуры выше описанные не помогли

провайдер Ростелеком

найти программу Apple Push - не смог

компьютеров в сети 3, использование домашнее, компьютеры детей не проверял на предмет вирусов

Изменено 16 апреля, 2020 пользователем Александр Кравчук

[Sandor]

@Александр Кравчук, здравствуйте!

 

Не пишите в чужой теме, выполняйте правила раздела.

 

процедуры выше описанные не помогли

Не удивительно, т.к. пишутся индивидуально.

Создайте свою тему и выполните Порядок оформления запроса о помощи

[ArtyomYurakov]

К сети подключаетесь через роутер? Если да, один компьютер?

Компьютер подключён напрямую к оборудованию провайдера через LAN-кабель.

[Sandor]

Найдите способ для теста подключиться через другого провайдера (через usb-модем или через телефон) и сообщите результат.

[ArtyomYurakov]

1. Отсоединил LAN-кабель DOM.RU

2. Выполнил холодную перезагрузку.

3. Провёл тестовое подключение через USB Wi-Fi модем YOTA

 

Поведение "Apple Push" от смены провайдера не изменилось.

[Sandor]

Скачайте Malwarebytes v.4. Установите и запустите.

(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").

Запустите Проверку и дождитесь её окончания.

Самостоятельно ничего не помещайте в карантин!!!

Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[ArtyomYurakov]

7 обнаружений. Все оставил там, где лежали.

 

Mwb4_scan.txt