[РЕШЕНО] Переход остановлен: источник msiexec.exe

[nmrlstc]

Здравствуйте, столкнулась с такой проблемой, нигде решение найти не могу - Каспер каждые 3-4 часа присылает уведомление "переход остановлен: вредоносный сайт", соответственно - ссылка на сайт и виновником обозначен msiexec.exe по пути на SYSWOW64. В ADWcleaner, FRST, Malware проверки сделала, они удалили некоторые вирусняки, но они походу не относились к тому, что меня тревожит сейчас. msiexec - это же установщик. Как его почистить или запретить процессы, которые запускают вирус? Откровенно стремновато от того, что его невозможно почистить. Спасибо тем, кто откликнется. 

 

Нашла в реестре по пути HKEY_USERS\S-1-5-21-3688185596-1786232887-1367929869-1001\SOFTWARE\Microsoft\Notepad файл "SearchString" с названием этого сайта. Наверное это оно и есть?

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[nmrlstc]

Здравствуйте. Прикладываю логи

CollectionLog-2022.10.03-09.55.zip

Ещё логи

FRST.txt Addition.txt

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Bonjour

Java 8 Update 51 (64-bit)

plumbing-prominent

Кнопка "Яндекс" на панелі завдань

 

 

Перезагрузите компьютер, удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[nmrlstc]

Есть

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {2636329D-964A-4CEB-8098-350039D3A0D0} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2250576 2022-05-24] (Avast Software s.r.o. -> Avast Software)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-3688185596-1786232887-1367929869-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  2022-09-30 17:25 - 2022-10-01 09:15 - 000000000 ____D C:\ProgramData\pork-positions
  2022-09-30 17:25 - 2022-09-30 17:28 - 000000000 ____D C:\ProgramData\DiskOptimizer
  2022-09-30 17:25 - 2022-09-30 17:25 - 000000000 ____D C:\ProgramData\RjlpvTLTBpjLXrp
  2022-09-30 17:25 - 2022-09-30 17:25 - 000000000 ____D C:\ProgramData\playerFolder
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [442]
  FirewallRules: [{23AE19AE-FF26-4091-BCE7-06D5EA6ECE3B}] => (Allow) LPort=1688
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[nmrlstc]

СделаноFixlog.txt

[Sandor]

16 часов назад, nmrlstc сказал:

Каспер каждые 3-4 часа присылает уведомление "переход остановлен: вредоносный сайт"

Это сейчас продолжается?

Если да, какой браузер при этом запущен (если запущен)?

[nmrlstc]

Сейчас не появилось, думаю, оно уже прошло, потому что после перезагрузки не появилось уведомление от Касп.. От браузера не зависело, пользуюсь Оперой GX. По сути, оно может появиться через час-два. Если что, я отпишусь тут, а потом тему можно закрывать?

[Sandor]

Хорошо, последите и сообщите.

[nmrlstc]

Спасибо большое, уведомление уже не приходит.

 

[Sandor]

Отлично, в завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[nmrlstc]

Есть

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126 Внимание! Скачать обновления
Python 3.9.5 (64-bit) v.3.9.5150.0 Внимание! Скачать обновления
FileZilla 3.60.1 v.3.60.1 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 19.00 v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Cisco Webex Meetings v.42.10.3 Внимание! Скачать обновления
Zoom v.5.11.11 (8425) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.6 Внимание! Скачать обновления
Spotify v.1.1.94.872.g7a9200fe Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 71.0.3770.441 v.71.0.3770.441 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Google Chrome v.105.0.5195.127 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Последнюю попробуйте удалить самостоятельно. Если не получится, сообщите.

Остальное по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

[nmrlstc]

Все готово!

SecurityCheck.txt