Перейти к содержанию

[РЕШЕНО] Установилось рекламное ПО


Рекомендуемые сообщения

Здравствуйте. После запуска установщика, полученного из торрента, в основной браузер (google chrome) без моего вмешательства установилось расширение "savevpn", при взаимодействии с ним ничего не происходит, источником установки был длинный локальный путь на этом компьютере. Я сразу удалил расширение. Мне кажется, что этого шага может быть недостаточно, так же не ясно что ещё могло быть установлено. Поводом для беспокойства послужил результат (imgur ссылка с результатом сканирования) полной проверки антивирусом. Последующие проверки Касперским, Dr.Web CureIt ничего не показали, всё же считаю нужным убедиться, что угрозы нет. 

CollectionLog-2023.01.30-07.20.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Выполнил сканирование сразу же после обнаружения расширения в браузере, прикрепляю результаты той проверки (очистку и сканирование) и выполненной только что (сканирование)

AdwCleaner[C00].txt AdwCleaner[S00].txt AdwCleaner[S04].txt

Ссылка на сообщение
Поделиться на другие сайты

Понятно. Выполните, пожалуйста, следующее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    Edge HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811009
    C:\Users\only_\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dmpojjilddefgnhiicjcmhbkjgbbclob
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811009
    CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://mail.ru/cnt/10445?gp=811009"
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [2498]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [2498]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive для бизнеса.lnk:1438E2ED3D [2498]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [2498]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [2498]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2498]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [2498]
    AlternateDataStreams: C:\Users\only_\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\only_\Desktop\снилс.jpeg:3or4kl4x13tuuug3Byamue2s4b [87]
    AlternateDataStreams: C:\Users\only_\Desktop\снилс.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\only_\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Что ж, изначально задача стояла устранить возможные последствия заражения, поэтому однозначного ответа дать не могу. Можно лишь надеяться, что этого достаточно. Касательно работы компьютера, проблем с производительностью или чем-либо ещё не наблюдаю. Есть ли возможность провести дополнительные сканирования или выполненных выше достаточно?

Ссылка на сообщение
Поделиться на другие сайты

Да, для спокойствия давайте проверим так:

 

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

На детект mail.ru можно не обращать внимания. Это ложное срабатывание на поисковую систему, которая в русскоязычной версии браузера Хром находится в списке таких систем по умолчанию.

 

Если других проблем нет, завершаем:

 

1. Деинсталлируйте Malwarebytes.

 

2.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.26.0.154 v.3.26.0.154 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
Viber v.18.7.0.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.9-I601-Win10  v.2.4.9-I601-Win10 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...