[РЕШЕНО] Переход остановлен: вредоносный сайт ippfinfo.top/jsapi.php

[webiis]

Здравствуйте, уважаемые форумчане!

Две недели назад столкнулся с атакой на свой пк, украли (если я правильно понял) все куки браузера. После чего, начали приходить уведомления о входе в аккаунты с неизвестных устройств.

Я сменил все пароли, почистил куки и кэш браузера, просканировали компьютер утилитой dr.web cureit, а после установил пробную версию Касперского, и так же удалил все найденные вирусы.

 

Сейчас, постоянно всплывает уведомление, что "Переход остановлен - Название: https://www.ippfinfo.top/jsapi.php". Также, не устанавливаются обновления windows и не скачиваются приложения из microsoft store.

Помогите решить проблему.

CollectionLog-2023.03.27-10.44.zip 27.03.2023.txt

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis (только следующие строки):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 176.53.141.197:8000 (disabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0http://34.80.59.191/win.pac
O1 - Hosts: is empty
O22 - Tasks: Temp - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe get-childitem -path $env:temp -force -recurse | remove-item -force -recurse

 

Перезагрузите компьютер.

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[webiis]

Проделал все действия. Отчеты прикрепляю.

ClearLNK-2023.03.27_11.49.12.log Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {1FDC8951-0AD6-4D0C-9AD2-D4F1788E7DBC} - \AdvancedWindowsManager #2 -> Нет файла <==== ВНИМАНИЕ
  Task: {3196AA55-A888-464B-B2FF-7AA426D49484} - \AdvancedWindowsManager #7 -> Нет файла <==== ВНИМАНИЕ
  Task: {68BEF0C5-5E21-4F6A-A8E1-73355B4110FA} - \AdvancedWindowsManager #5 -> Нет файла <==== ВНИМАНИЕ
  Task: {78BFC265-3FF0-4B26-A497-6C2673232F8C} - \AdvancedWindowsManager #8 -> Нет файла <==== ВНИМАНИЕ
  Task: {AD25FB99-9EA2-4BC6-B197-2CA4FB70B287} - \AdvancedWindowsManager #3 -> Нет файла <==== ВНИМАНИЕ
  Task: {AE10B4E8-76DE-42F5-947C-9655BA8A632B} - \AdvancedWindowsManager #6 -> Нет файла <==== ВНИМАНИЕ
  Task: {BE7FD857-3912-426C-BCB0-0128F9246D8E} - \AdvancedWindowsManager #4 -> Нет файла <==== ВНИМАНИЕ
  Task: {DCB2FC41-72FD-4AD1-B5E9-33C5AC966A9A} - \AdvancedWindowsManager #1 -> Нет файла <==== ВНИМАНИЕ
  Task: {DE18CB66-DDDC-4DA7-9102-E564658C1DB8} - \AdvancedUpdater -> Нет файла <==== ВНИМАНИЕ
  Task: {EEFE4BC4-C6CF-4912-86D6-A9E069AB2111} - \AdvancedWindowsManager #9 -> Нет файла <==== ВНИМАНИЕ
  Tcpip\..\Interfaces\{8def92ac-8fd0-4f89-ad89-c035fcffa0d6}: [NameServer] 127.0.2.2,127.0.2.3
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxps://isearch.avg.com/?cid={B8C07F21-E332-4CE6-AE09-C14319F8A0C6}&mid=bc8a034d059147d0b34ac13194d2bda0-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=ru&ds=bm015&pr=sa&d=2012-10-11 16:57:41&v=12.1.0.20&sap=hp","hxxps://isearch.avg.com/?cid={0237846A-956C-4780-970E-1EAEAB96B32E}&mid=bc8a034d059147d0b34ac13194d2bda0-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=ru&ds=bm015&pr=sa&d=2012-11-21 10:00:38&v=12.1.0.20&sap=hp","hxxp://mail.ru/cnt/7993/","hxxp://mail.ru/cnt/10445?gp=820031","hxxps://mail.ru/cnt/10445?gp=812205","hxxp://googla.com.ua/q","hxxps://find-it.pro/?utm_source=distr_m"
  OPR Notifications: Opera Stable -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://web.telegram.org; hxxps://www.instagram.com; hxxps://zarabotok-online.xyz
  S3 bits; C:\Windows\System32\svchost.exe [79944 2022-03-14] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 bits; C:\Windows\SysWOW64\svchost.exe [48568 2022-03-14] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\Windows\System32\svchost.exe [79944 2022-03-14] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc; C:\Windows\SysWOW64\svchost.exe [48568 2022-03-14] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[webiis]

В предыдущем сообщении, загрузил не полный отчет.

Addition.txt FRST.txt

[Sandor]

Да, я видел, спасибо за полный лог. Выполняйте скрипт.

[webiis]

Скрипт выполнил.

Fixlog.txt

[Sandor]

Ещё один небольшой скрипт выполните в безопасном режиме:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Games
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|D:\Games
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\user
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[webiis]

Готово.

Fixlog.txt

[Sandor]

Хорошо, что сейчас из проблем осталось?

[webiis]

Также, переход остановлен:

Цитата

Событие: Переход остановлен
Пользователь: User\user
Тип пользователя: Активный пользователь
Имя программы: chrome.exe
Путь к программе: C:\Program Files\Google\Chrome\Application
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://www.ippfinfo.top/jsapi.php
Точность: Точно

 

[Sandor]

В других браузерах также? (Edge, FF, Opera)

[webiis]

Проверил в Opera - сообщения от антивируса не было. Получается, что только в chrome!

[Sandor]

Сделайте Сброс настроек браузера Chrome. Проверьте и сообщите результат.

[webiis]

После сброса настроек, сообщений больше не было.

Благодрю за помощь!