Trojan:Win32/Zpevdo / Program:Win32/Wacapew.B!m

[Oscar]

Скачал игру, приходит уведомление от Виндовс антивируса что нашёл угрозу Program:Win32/Wacapew.B!m
Почитал в интернете, писали что это троян либо ложное срабатывание.
Я вообщем-то подумал что это ложное срабатывание и через минут 10-15 приходит новое уведомление что Виндовс нашёл новую угрозу Trojan:Win32/Zpevdo
1) Проверил систему Kaspersky Virus Removal Tool, он ничего не обнаружил.
2) Логи вложил
Пожалуйста помогите вычистить компьютер от этой заразы.

 

CollectionLog-2021.06.25-21.31.zip

Изменено 25 июня, 2021 пользователем Oscar

[Oscar]

Добавлю, когда мне высветились эти угрозы в антивирусе я нажал их удалить.
Спустя 2 часа после публикации темы антивирус молчит.

 

[SQ]

Здравствуйте,

 

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-12-13 12:55:10&bName=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [SuggestionsURL,TopResultURL] = https://defaultsearch.co?q={searchTerms} - DefaultSearchYahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [URL] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

[Oscar]

16 часов назад, SQ сказал:

HiJackThis (из каталога autologger)профиксить

Сделал.
Отчёт прикрепил, хотел задать ещё один вопрос. Честно мне уведомления не приходили о угрозах и замечается маленькая нагрузка или это я сам себе накрутил, вообщем к вопросу.
Как я смогу узнать что вирус удалён?

AdwCleaner[C00].txt AdwCleaner[S00].txt

[SQ]

Давайте еще я просмотрю следующий лог еще.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Oscar]

Вот

FRST.txt Addition.txt

[SQ]

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Выделите следующий код::

   Start::
   CreateRestorePoint:
   CloseProcesses:
   CHR DefaultSearchURL: Default -> hxxps://xn--80affa3aj0al.xn--80asehdb/img/icons/icon16.png
   Folder: C:\ProgramData\Innova
   Folder: C:\ProgramData\modloader
   File: C:\Windows\SysWOW64\DLLDEV32i.dll
   AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3990]
   AlternateDataStreams: C:\Users\Оскар\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
   AlternateDataStreams: C:\Users\Оскар\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
   FirewallRules: [{92901777-68D7-4AB1-80B3-9A9F48859801}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
   FirewallRules: [{ABB626A3-3B82-4955-8C29-0532E7BD61D8}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
   FirewallRules: [TCP Query User{BC6283FD-5E59-4DF1-A360-3570C512BC36}D:\72.0.3815.400\opera.exe] => (Block) D:\72.0.3815.400\opera.exe => Нет файла
   FirewallRules: [UDP Query User{971DCD5D-1E64-4791-B52E-F05AD4BEBCC1}D:\72.0.3815.400\opera.exe] => (Block) D:\72.0.3815.400\opera.exe => Нет файла
   FirewallRules: [TCP Query User{6A81D494-C045-4E17-8EC8-1A5ACF61D180}D:\epic games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe] => (Block) D:\epic games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe => Нет файла
   FirewallRules: [UDP Query User{197C2574-98A6-4A89-B61C-A3036EF7D60D}D:\epic games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe] => (Block) D:\epic games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe => Нет файла
   FirewallRules: [TCP Query User{CA42929F-7486-407A-8D80-60915874ACD1}C:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe => Нет файла
   FirewallRules: [UDP Query User{47CD1C8E-9FB1-47FC-B5B0-475C2A0E77A3}C:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe => Нет файла
   FirewallRules: [TCP Query User{00F3F5A8-7C7A-4EB8-B0F0-99B954D5473C}D:\epic games\reddeadredemption2\rdr2.exe] => (Block) D:\epic games\reddeadredemption2\rdr2.exe => Нет файла
   FirewallRules: [UDP Query User{A1B07256-0EA6-4A61-B50E-F2E630F7EC94}D:\epic games\reddeadredemption2\rdr2.exe] => (Block) D:\epic games\reddeadredemption2\rdr2.exe => Нет файла
   FirewallRules: [TCP Query User{64BE4CAB-E4B0-42B5-BA96-5954CE9F3BA7}D:\73.0.3856.344\opera.exe] => (Block) D:\73.0.3856.344\opera.exe => Нет файла
   FirewallRules: [UDP Query User{20678998-02D6-42E9-8585-6B23571F102C}D:\73.0.3856.344\opera.exe] => (Block) D:\73.0.3856.344\opera.exe => Нет файла
   FirewallRules: [TCP Query User{E099F38D-B722-4AED-AB10-303FBF15B73E}D:\74.0.3911.75\opera.exe] => (Block) D:\74.0.3911.75\opera.exe => Нет файла
   FirewallRules: [UDP Query User{5FB0C2CD-D81E-4D0A-9B1A-99EA358D98D6}D:\74.0.3911.75\opera.exe] => (Block) D:\74.0.3911.75\opera.exe => Нет файла
   FirewallRules: [TCP Query User{EF1C61F6-0411-4F64-BF4E-4997AD10D3CA}D:\74.0.3911.107\opera.exe] => (Block) D:\74.0.3911.107\opera.exe => Нет файла
   FirewallRules: [UDP Query User{2163E5D6-5EDD-42A8-9726-4A8E0FD96AD1}D:\74.0.3911.107\opera.exe] => (Block) D:\74.0.3911.107\opera.exe => Нет файла
   FirewallRules: [TCP Query User{557DBD33-33C4-4F91-91FC-6E7D54F334E7}D:\epic games\rage2\rage2.exe] => (Block) D:\epic games\rage2\rage2.exe => Нет файла
   FirewallRules: [UDP Query User{4B295101-08A2-4EBC-99E2-822A0D687696}D:\epic games\rage2\rage2.exe] => (Block) D:\epic games\rage2\rage2.exe => Нет файла
   FirewallRules: [TCP Query User{19B947AB-248F-4F9A-BE12-49B2AE8E2861}D:\steam\steamapps\common\warface\gamecenter\gamecenter.exe] => (Block) D:\steam\steamapps\common\warface\gamecenter\gamecenter.exe => Нет файла
   FirewallRules: [UDP Query User{A10C0EFD-1EE1-4512-9355-8CBA5727CD12}D:\steam\steamapps\common\warface\gamecenter\gamecenter.exe] => (Block) D:\steam\steamapps\common\warface\gamecenter\gamecenter.exe => Нет файла
   FirewallRules: [TCP Query User{DF05D0CB-572D-405B-9468-C0F7DCEF1432}D:\steam\steamapps\common\warface\13_2000076\bin64release\game.exe] => (Block) D:\steam\steamapps\common\warface\13_2000076\bin64release\game.exe => Нет файла
   FirewallRules: [UDP Query User{8E988FE0-635E-4362-A0E0-7A72721217EB}D:\steam\steamapps\common\warface\13_2000076\bin64release\game.exe] => (Block) D:\steam\steamapps\common\warface\13_2000076\bin64release\game.exe => Нет файла
   FirewallRules: [TCP Query User{CAD3D0BC-B12B-4E02-A16A-186231C57E47}D:\74.0.3911.203\opera.exe] => (Block) D:\74.0.3911.203\opera.exe => Нет файла
   FirewallRules: [UDP Query User{1A4E10C8-3A94-46B1-987A-377379666412}D:\74.0.3911.203\opera.exe] => (Block) D:\74.0.3911.203\opera.exe => Нет файла
   FirewallRules: [TCP Query User{9AE0001B-386B-4949-AFD5-732AD4B53FB1}D:\74.0.3911.218\opera.exe] => (Block) D:\74.0.3911.218\opera.exe => Нет файла
   FirewallRules: [UDP Query User{B986049B-F852-4FBC-8B27-D8E6DD96EA07}D:\74.0.3911.218\opera.exe] => (Block) D:\74.0.3911.218\opera.exe => Нет файла
   FirewallRules: [TCP Query User{766E1B88-9697-4A0A-994E-CCC543CBC6FA}D:\75.0.3969.93\opera.exe] => (Block) D:\75.0.3969.93\opera.exe => Нет файла
   FirewallRules: [UDP Query User{18558079-5A3A-4C08-9E70-2A03C1362DE1}D:\75.0.3969.93\opera.exe] => (Block) D:\75.0.3969.93\opera.exe => Нет файла
   FirewallRules: [TCP Query User{4141EA7D-9498-4C13-BC7B-7B17D577221C}D:\call of duty modern warfare\modernwarfare.exe] => (Block) D:\call of duty modern warfare\modernwarfare.exe => Нет файла
   FirewallRules: [UDP Query User{3E6BAABB-3A78-49D3-B36F-39F7C3645862}D:\call of duty modern warfare\modernwarfare.exe] => (Block) D:\call of duty modern warfare\modernwarfare.exe => Нет файла
   FirewallRules: [TCP Query User{B9D62BA4-FE67-49F9-8591-A29D49D3A8D3}D:\75.0.3969.171\opera.exe] => (Block) D:\75.0.3969.171\opera.exe => Нет файла
   FirewallRules: [UDP Query User{FD1B046F-437C-414A-876A-08270E80F3E4}D:\75.0.3969.171\opera.exe] => (Block) D:\75.0.3969.171\opera.exe => Нет файла
   FirewallRules: [TCP Query User{5F243E38-9415-4B63-A136-8628226343C7}D:\enlisted\launcher.exe] => (Block) D:\enlisted\launcher.exe => Нет файла
   FirewallRules: [UDP Query User{E440856B-E5B3-4C3F-A631-58D651B88042}D:\enlisted\launcher.exe] => (Block) D:\enlisted\launcher.exe => Нет файла
   FirewallRules: [TCP Query User{077036DF-24D7-47A1-9A2D-DBBA5924C527}D:\enlisted\win64\enlisted.exe] => (Block) D:\enlisted\win64\enlisted.exe => Нет файла
   FirewallRules: [UDP Query User{0014EC84-CF63-4CF9-901A-20D032A8801C}D:\enlisted\win64\enlisted.exe] => (Block) D:\enlisted\win64\enlisted.exe => Нет файла
   FirewallRules: [TCP Query User{0A94BF60-082F-43AA-A2A0-2C54CE6E7A97}D:\steam\steamapps\common\arma 3\arma3_x64.exe] => (Block) D:\steam\steamapps\common\arma 3\arma3_x64.exe => Нет файла
   FirewallRules: [UDP Query User{67C485BC-C1CA-474F-A95B-A074B7CF4EEF}D:\steam\steamapps\common\arma 3\arma3_x64.exe] => (Block) D:\steam\steamapps\common\arma 3\arma3_x64.exe => Нет файла
   FirewallRules: [{E176C04C-3438-4C85-856D-336772727CA0}] => (Allow) D:\Steam\steamapps\common\TotallyAccurateBattlegrounds\TotallyAccurateBattlegrounds.exe => Нет файла
   FirewallRules: [{B0C5A4E7-0832-4D10-A349-7F694A28468C}] => (Allow) D:\Steam\steamapps\common\TotallyAccurateBattlegrounds\TotallyAccurateBattlegrounds.exe => Нет файла
   FirewallRules: [TCP Query User{D7002DE1-3194-4249-894E-03F834DB1DB8}D:\old_status\paint the town red v0.14.4 r5409\paintthetownred.exe] => (Block) D:\old_status\paint the town red v0.14.4 r5409\paintthetownred.exe => Нет файла
   FirewallRules: [UDP Query User{CDC237AE-A3CC-46BC-B008-48ACD3ACCFD1}D:\old_status\paint the town red v0.14.4 r5409\paintthetownred.exe] => (Block) D:\old_status\paint the town red v0.14.4 r5409\paintthetownred.exe => Нет файла
   FirewallRules: [TCP Query User{96CCF6F3-9BB9-4E75-A324-756821F90D0C}D:\old_status\doom\doomx64.exe] => (Block) D:\old_status\doom\doomx64.exe => Нет файла
   FirewallRules: [UDP Query User{90E97EEA-5EA1-4FA7-AAAF-5CE5885563E5}D:\old_status\doom\doomx64.exe] => (Block) D:\old_status\doom\doomx64.exe => Нет файла
   FirewallRules: [{C506B2C2-C4C7-4C10-9384-4061AF3DB1AE}] => (Allow) C:\Program Files (x86)\Overwolf\0.170.48.15\OverwolfBrowser.exe => Нет файла
   FirewallRules: [{B3E0D875-ED06-445F-87BB-B212515E7141}] => (Allow) C:\Program Files (x86)\Overwolf\0.170.48.15\OverwolfBrowser.exe => Нет файла
   FirewallRules: [{5FD5AAD7-DA1C-4AAB-A12C-6D52AB759537}] => (Block) C:\Program Files (x86)\Overwolf\0.170.48.15\OverwolfBrowser.exe => Нет файла
   FirewallRules: [{0E116C1A-F22B-4A3C-8BC7-1FD4BBE06175}] => (Block) C:\Program Files (x86)\Overwolf\0.170.48.15\OverwolfBrowser.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

Похоже вредонос только был в следующем файле в логах больше ничего плохого не вижу.

D:\old_status\SWAT_Setup.exe

 

[Oscar]

Вот

Fixlog.txt

[SQ]

В логах ничего плохого не видно, уточните пожалуйста, если Вас, что-то беспокоит в работе ПК?

[Oscar]

Честно нет, просто побеспокоился о пк после уведомления от трояне.

1 час назад, SQ сказал:

Похоже вредонос только был в следующем файле в логах больше ничего плохого не вижу.

Удалил, спасибо)
Думаю трояна больше нет, огромное спасибо вам!)

[SQ]

Завершающие шаги:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[Oscar]

Вот)

SecurityCheck.txt

[SQ]

Ознакомьтесь со следующими рекомендациями:

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Microsoft OneDrive v.21.099.0516.0003 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop, версия 2.7.4 v.2.7.4 Внимание! Скачать обновления
Viber v.14.2.0.38 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46020 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 271 (64-bit) v.8.0.2710.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u291-windows-x64.exe)^

Читайте Рекомендации после удаления вредоносного ПО.

 

На этом всё!