[РЕШЕНО] Chromium.page.malware

[Sakrold]

Здравствуйте, нашел в соседней теме решение, но не осмелился эмулировать код для чужой системы себе, буду благодарен помощи. Нужные файлы я так понял эти: 

Addition.txt FRST.txt

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Sakrold]

CollectionLog-2024.01.06-18.02.zip

[Sandor]

Здравствуйте!

 

Опишите, пожалуйста, в чём выражается проблема.

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Sakrold]

пару недель назад заметил, что комп начал подтупливать, в игре побег из таркова, долго загрузка идет из боя и фпс просел, сегодня решил скачать дрвеб и проверить на вирусы, нашло 2 угрозы, обе удалил, но Chromium.page.malware.URL после перезагрузки компа появляется снова. 

AdwCleaner[S00].txt

 

извиняюсь, неправильно написал название, CHROMIUM:PAGE.MINERS.URL 

 

к стати, даже без перезагрузки, появился снова

[Sandor]

Понятно, продолжаем.

 

1. 

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sakrold]

 

 

AdwCleaner[C05].txt Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [st_global] => D:\FunPlus\StormShot\Launcher.exe (Нет файла)
  HKU\S-1-5-21-471189600-3044245845-773336176-1001\...\MountPoints2: G - "G:\SETUP.EXE" 
  HKU\S-1-5-21-471189600-3044245845-773336176-1001\...\MountPoints2: H - "H:\SETUP.exe" 
  Edge StartupUrls: Default -> "hxxps://www.nicehash.com/my/login?redirect=%2Fmy%2Fmining%2Frigs%2F0-aTd1sjpiREilnE5dFPJ7bg","hxxps://www.binance.com/ru/my/wallet/account/overview","hxxps://whattomine.com/coins?aq_3070=1&aq_3060L=1&aq_166s=2&aq_1660=1&aq_68xt=1&aq_68=0&aq_67xt=0&aq_66xt=0&aq_vii=0&aq_5700xt=1&aq_5700=0&aq_5600xt=0&aq_vega64=0&aq_vega56=0&aq_3090=0&aq_3080Ti=0&aq_3080=0&aq_3080L=0&aq_3070Ti=0&aq_3070L=0&aq_3060Ti=0&aq_3060TiL=0&aq_3060=1&aq_55xt8=0&aq_580=0&aq_570=0&aq_480=3&aq_470=0&aq_fury=0&aq_380=0&aq_2080Ti=0&aq_2080=0&aq_2070=0&aq_2060=0&aq_1660Ti=0&aq_1080Ti=0&aq_1080=0&aq_1070Ti=0&aq_1070=0&aq_10606=1&aq_1050Ti=0&eth=true&factor%5Beth_hr%5D=181.7&factor%5Beth_p%5D=500.0&e4g=true&factor%5Be4g_hr%5D=171.7&factor%5Be4g_p%5D=500.0&zh=true&factor%5Bzh_hr%5D=203.0&factor%5Bzh_p%5D=450.0&cnh=true&factor%5Bcnh_hr%5D=3750.0&factor%5Bcnh_p%5D=450.0&cng=true&factor%5Bcng_hr%5D=6450.0&factor%5Bcng_p%5D=450.0&cnr=true&factor%5Bcnr_hr%5D=520.0&factor%5Bcnr_p%5D=90.0&cnf=true&factor%5Bcnf_hr%5D=6700.0&factor%5Bcnf_p%5D=440.0&eqa=true&factor%5Beqa_hr%5D=1090.0&factor%5Beqa_p%5D=600.0&cc=true&factor%5Bcc_hr%5D=29.6&factor%5Bcc_p%5D=590.0&cr29=true&factor%5Bcr29_hr%5D=23.3&factor%5Bcr29_p%5D=450.0&ct31=true&factor%5Bct31_hr%5D=1.2&factor%5Bct31_p%5D=140.0&ct32=true&factor%5Bct32_hr%5D=1.61&factor%5Bct32_p%5D=590.0&eqb=true&factor%5Beqb_hr%5D=98.6&factor%5Beqb_p%5D=590.0&rmx=true&factor%5Brmx_hr%5D=2620.0&factor%5Brmx_p%5D=430.0&ns=true&factor%5Bns_hr%5D=550.0&factor%5Bns_p%5D=90.0&factor%5Bal_hr%5D=412.0&factor%5Bal_p%5D=520.0&ops=true&factor%5Bops_hr%5D=159.4&factor%5Bops_p%5D=600.0&eqz=true&factor%5Beqz_hr%5D=116.9&factor%5Beqz_p%5D=450.0&zlh=true&factor%5Bzlh_hr%5D=172.5&factor%5Bzlh_p%5D=590.0&kpw=true&factor%5Bkpw_hr%5D=81.7&factor%5Bkpw_p%5D=590.0&ppw=true&factor%5Bppw_hr%5D=82.2&factor%5Bppw_p%5D=610.0&x25x=true&factor%5Bx25x_hr%5D=16.9&factor%5Bx25x_p%5D=450.0&mtp=true&factor%5Bmtp_hr%5D=12.0&factor%5Bmtp_p%5D=600.0&vh=true&factor%5Bvh_hr%5D=3.28&factor%5Bvh_p%5D=530.0&factor%5Bcost%5D=0.1&sort=Profitability24&volume=0&revenue=24h&factor%5Bexchanges%5D%5B%5D=&factor%5Bexchanges%5D%5B%5D=binance&factor%5Bexchanges%5D%5B%5D=bitfinex&factor%5Bexchanges%5D%5B%5D=bitforex&factor%5Bexchanges%5D%5B%5D=bittrex&factor%5Bexchanges%5D%5B%5D=dove&factor%5Bexchanges%5D%5B%5D=exmo&factor%5Bexchanges%5D%5B%5D=gate&factor%5Bexchanges%5D%5B%5D=graviex&factor%5Bexchanges%5D%5B%5D=hitbtc&factor%5Bexchanges%5D%5B%5D=hotbit&factor%5Bexchanges%5D%5B%5D=ogre&factor%5Bexchanges%5D%5B%5D=poloniex&factor%5Bexchanges%5D%5B%5D=stex&dataset=Main&commit=Calculate","hxxps://www.computeruniverse.net/ru/order/history","hxxps://coinmarketcap.com/","hxxps://2cryptocalc.com/ru/etc-mining-calculator?hashrate=180","hxxps://solo-etc.2miners.com/ru/account/0xea48defef14fbd7cca59ff03eac8d58b396a45a1","hxxps://miningclub.info/threads/1660-super-hynix-34mh.87107/page-107#post-2535897","hxxps://te4h.ru/proshivka-biosa-videokarty-nvidia","hxxps://www.avito.ru/nizhniy_tagil/kvartiry/3-k._kvartira_108m_56et._2173082533","hxxps://www.avito.ru/nizhniy_tagil/kvartiry/3-k._kvartira_602m_59et._2205690530"
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sakrold]

Fixlog.txt

 

что-то я не так сделал, или это не всё? код просто в буфер скопировать же нужно было, или текстовый документ сделать?

[Sandor]

Вы всё сделали правильно.

 

Сделайте сброс настроек браузера, после чего еще раз проверьте и сообщите результат.

[Sakrold]

дрвеб перестал находить этот хромиум, но адвклинер находит две других) 

наверно проще винду переустановить

[Sandor]

Из-за такой ерунды незачем переустанавливать.

Эти папки физически присутствуют?

[Sakrold]

да, я их удалил, но тоже после перезагрузки появляются

 

[Sandor]

Отчёт AdwCleaner с этим обнаружением покажите.

В смысле - прикрепите.

[Sakrold]

запутался какой надо 

 

AdwCleaner[C01].txt AdwCleaner[S00].txt AdwCleaner[S01].txt

это новые файлы, не прошлые