放大镜

PUP.Optional.Catalina

简短的个人介绍

Catalina是Malwarebytes的检测名必威平台APP称,用于Catalina Group Ltd.针对Windows和MacOS发布的一系列与广告软件相关的可能不需要的程序。

症状

用户在安装过程中注意到这种类型的屏幕:

安装Citrio

他们可能会在已安装程序和功能列表中注意到此类条目:

安装Citrio

他们可能会注意到这些计划任务:

卡特琳娜安排任务

恶意的行为

可选:卡塔琳娜通过安装获得持久性计划任务和一个运行注册表项。这些过程旨在未经用户同意“更新”应用程序。其中一些更新与隐私问题有关。

感染类型及来源

Catalina在受影响的系统上下载并安装对用户没有好处的扩展。
PUP.Optional.Catalina来捆绑使用Catalina集团发布的应用程序,如Citrio浏览器(Chromium项目)。

Citrio浏览器

保护

必威平台APPMalwarebytes保护用户免受pups . optional . catalina通过使用实时保护。

块PUP.Optional.Catalina

必威平台APP伪块PUP.Optional.Catalina

修复

必威平台APPMalwarebytes可以检测和删除pups . optional . catalina,无需进一步的用户交互。

  1. 下载伪必威平台APP你的桌面。
  2. 双击MBSetup.exe并按照提示安装程序。
  3. 当你的必威平台APP伪的窗户安装完成后,程序打开到欢迎Malwarebytes屏幕。必威平台APP
  4. 点击开始按钮。
  5. 点击扫描开始威胁扫描.
  6. 点击检疫以删除发现的威胁。
  7. 如果提示完成删除过程,请重新启动系统。

必威平台APP伪删除日志

Ma必威平台APPlwarebytes的删除日志如下所示:

必威平台APPMalwarebytes www.malwarebytes.com -Log Details-扫描日期:2/13/19扫描时间:10:34 AM日志文件:99374b67-2f72-11e9-8ffc-00ffdcc6fdfc。json - software Information- Version: 3.6.1.2711 Components Version: 1.0.527 Update Package Version: 1.0.9238 License: Premium -System Information-操作系统:Windows 7 Service Pack 1 CPU: x64 File System: NTFS User: {computername}\{username} -Scan Summary- Scan Type:威胁扫描扫描发起方:手动扫描结果:已完成扫描对象:236076检测到的威胁:26隔离的威胁:26时间流逝:4分钟27秒-扫描选项-内存:启用启动:启用文件系统:启用档案:启用Rootkits:启用试探:启用PUP:检测PUM:检测-扫描详细信息-进程:1 PUP.可选。Catalina, C:\USERS\{username}\APPDATA\LOCAL\CATALINAGROUP\UPDATE\1.3.25.225\CATALINACRASHHANDLER.EXE,隔离,[500],[635491],1.0.9238模块:2 pup .可选。Catalina, C:\USERS\{username}\APPDATA\LOCAL\CATALINAGROUP\UPDATE\1.3.25.225\ gooopdate . dll,隔离,[500],[635491],1.0.9238 pup .可选。Catalina, C:\USERS\{username}\APPDATA\LOCAL\CATALINAGROUP\UPDATE\1.3.25.225\CATALINACRASHHANDLER.EXE,隔离的,[500],[635491],1.0.9238注册键值:6 pup .可选。Catalina, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\CatalinaGroupUpdateTaskUserS-1-5-21-{userCLSID}Core, isolated, [500], [635491],1.0.9238 pup .可选。Catalina, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{467A2CF4-D247-447D-9C6F-0F2E9E5F9BB6},已隔离,[500],[635491],1.0.9238 pup .可选。Catalina, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{467A2CF4-D247-447D-9C6F-0F2E9E5F9BB6},已隔离,[500],[635491],1.0.9238 pup .可选。Catalina, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\CatalinaGroupUpdateTaskUserS-1-5-21-{userCLSID}UA,已隔离,[500],[635491],1.0.9238 pup .可选。Catalina, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{18948E4E-B2F0-4193-BCD3-984AB9734C95},隔离,[500],[635491],1.0.9238 pup .可选。Catalina, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{18948E4E-B2F0-4193-BCD3-984AB9734C95},隔离,[500],[635491],1.0.9238注册表值:1 pup .可选。Catalina, HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN| catalinaggroup Update, isolated,[500],[635491],1.0.9238注册表数据:0(未检测到恶意项目)数据流:0(未检测到恶意项目)文件夹:0(未检测到恶意项目)文件:16 pup .可选。Catalina, C:\USERS\{username}\APPDATA\LOCAL\CATALINAGROUP\UPDATE\1.3.25.225\ gooopdate . dll,隔离,[500],[635491],1.0.9238 pup .可选。Catalina, C:\USERS\{username}\APPDATA\LOCAL\CATALINAGROUP\UPDATE\1.3.25.225\CATALINACRASHHANDLER.EXE,隔离的,[500],[635491],1.0.9238 pup .可选。卡特琳娜,C:\WINDOWS\TASKS\ CatalinaGroupUpdateTaskUserS-1-5-21 - {userCLSID}的核心。工作,隔离,[500],[635491],1.0.9238 pup .可选。\ windows \ system32 \ tasks\ Catalina, C:\WINDOWS\SYSTEM32\TASKS\CatalinaGroupUpdateTaskUserS-1-5-21-{userCLSID}Core, quarantine, [500], [635491],1.0.9238 pup .可选。卡特琳娜,C:\WINDOWS\TASKS\ CatalinaGroupUpdateTaskUserS-1-5-21 - {userCLSID} UA。工作,隔离,[500],[635491],1.0.9238 pup .可选。Catalina, C:\WINDOWS\SYSTEM32\TASKS\CatalinaGroupUpdateTaskUserS-1-5-21-{userCLSID}UA, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\APPDATA\LOCAL\CATALINAGROUP\UPDATE\CATALINAUPDATE.EXE, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\DESKTOP\CATALINAUPDATESETUP.EXE, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\Citrio.lnk, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\User Pinned\TaskBar\Citrio.lnk, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\APPDATA\ROAMING\Microsoft\Windows\Start Menu\Programs\Citrio.lnk, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\DESKTOP\Chrome Web Store.lnk, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\DESKTOP\Citrio.lnk, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\DESKTOP\Facebook.lnk, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\DESKTOP\YouTube.lnk, Quarantined, [500], [635491],1.0.9238 PUP.Optional.Catalina, C:\USERS\{username}\APPDATA\LOCAL\CATALINAGROUP\CITRIO\APPLICATION\CITRIO.EXE, Quarantined, [500], [635491],1.0.9238 Physical Sector: 0 (No malicious items detected) WMI: 0 (No malicious items detected) (end)

添加一个排斥

如果用户希望保留该程序并在以后的扫描中排除它,他们可以将该程序添加到排除列表中。以下是如何做到这一点。

  • 打开Win必威平台APPdows恶意软件。
  • 单击检测的历史
  • 单击允许列表
  • 将项添加到允许列表,点击添加.
  • 选择排除类型允许一个文件或文件夹并使用选择一个文件夹按钮以选择要保留的软件的主文件夹。
  • 对属于该软件的任何辅助文件或文件夹重复此操作。

如果您希望允许程序连接到Internet,例如获取更新,还需要添加类型的排除允许应用程序连接到internet并使用浏览按钮以选择您希望授予访问权限的文件。

跟踪/IOC

您可能会在FRST日志中看到这些条目:

HKCU\…\Run:[Catalina Group Update]=>C:\Users\{username}\AppData\Local\Catalina Group\Update\CatalinaUpdate.exe[132104 2019-02-13](Catalina Group Limited->Catalina Group Ltd.)<===注意C:\Windows\Tasks\Catalina Group UpdateTasks-1-5-21-{userCLSID}UA.job C:\Windows\Tasks\Catalina Group UpdateTasks-1-5-21-{userCLSID}Core.jobC:\Users\{username}\AppData\Local\CatalinaGroup C:\Windows\System32\Tasks\catalinagroupupdatetasks-1-5-21-{userCLSID}UA C:\Windows\System32\Tasks\catalinagroupupdatetasks-1-5-21-{userCLSID}核心C:\Users\{username}\AppData\Local\CatalinaGroup\Update\CatalinaUpdate.exe任务:{18948E4E-B2F0-4193-BCD3-984AB9734C95}-System32\Tasks\CatalinaGroupUpdateTaskUserS-1-5-21-{userCLSID}UA=>C:\Users\{username}\AppData\Local\CatalinaGroup\Update\catalinaupdateate.exe(Catalina Group Limited->Catalina Group Ltd.)[文件未签名]<====注意任务:{467A2CF4-D247-d-9C6F-0F2E9E5F9BB6}-System32\Tasks\catalinagroupupdatetasks-1-5-21-{userCLSID}>C:\Users\{username}\AppData\Local\CatalinaGroup\Update\CatalinaUpdate.exe(Catalina集团有限公司->Catalina集团有限公司)[文件未签名]<====注意任务:C:\Windows\Tasks\catalinagroupupdatetasks-1-5-21-{userCLSID}Core.job=>C:\Users\{username}\AppData\Local CatalinaGroup\Update\CatalinaUpdate\CatalinaUpdate.exe<==注意任务:C:\Windows\Tasks\catalinagroupupdatetaskuers-1-5-21-{userCLSID}UA.job=>C:\Users\{username}\AppData\Local\CatalinaGroup\Update\CatalinaUpdate.exe<==注意

相关的博客内容

计划任务

广告软件系列,第1部分

eFast浏览器劫持文件关联

选择你的语言