В работе Скомпрометированный Ammyy Admin

[Ptabuchis]

Скачал с оф. сайта Ammyy Admin, через 5 минут прочитал, что он мог быть скомпрометирован. Прошу помощи в проверке файла/последствий. Надо ли менять все пароли и прочее...

 

[akok]

Не то. Нужны логи AutoLogger, а не сама программа. Вот инструкция

 

[Ptabuchis]

Напортачил, извините

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O2-32 - HKLM\..\BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\SafeBoot: [AlternateShell] = (no file) (disabled)
O4 - MountPoints2: HKCU\..\{d987fbfb-a887-11ef-b565-d8bbc13d541d}\shell\AutoRun\command: (default) = H:\WifiAutoInstallSetup.exe (file missing)
O9-32 - Button: HKLM\..\AutorunsDisabled: (no name) - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo\Experience Improvement (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)
O26 - Office Addin: HKLM\..\PowerPivotExcelClientAddIn.NativeEntry.1 - (Microsoft Power Pivot for Excel) -> (no file)

Отсюда качали?
www.ammyy.com/ru/

 

[akok]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Пока признаков компрометации не видно, но если зловред собрал пароли и самоудалился, то и не увидим.

 

[Ptabuchis]

Строки пофиксил, все присутствовали. Качал оттуда, да (SHA256: ee573647477339784dcef81024de1be1762833a20e5cc2b89a93e47d05b86b6a). Прочитал, что сайт взламывали и запаниковал

 

[akok]

Видел новость но за 2018 год

VirusTotal - репутация уже так себе

 

[Ptabuchis]

Файл из АВЗ MD5: 834A60FA429C76DFA6EA4B4794BFE3F1

 

[akok]

2025-07-27 00:20 - 2025-05-28 00:20 - 000000032 ____R () C:\ProgramData\hash.dat - знакомо?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{626E29EB-FA27-42E7-34B2-D6AD7CF61E44}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-998984964-1025170612-3314716842-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> отсутствует путь к файлу
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  hortcut: C:\Users\Master\Desktop\run_server.lnk -> C:\Users\Master\Downloads\_Portable\PolyMC-Windows-Portable-7.0\instances\1.20.1 gooses server\run.bat (Нет файла)
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

По поводу утечки, всегда нужно подходить исходя из плохого сценария. Но можно обойтись установкой второго фактора аутентификации... но я бы беспокоился больше о старом, уязвимом софте

 

[Ptabuchis]

Спасибо, понял. Вот лог