Перейти к содержанию

Требуется помощь в удалении chromium page malware


Рекомендуемые сообщения

Добрый день. Компьютер без видимых процессов постоянно шумел кулером, решил проверить на скрытые угрозы. Обнаружил с помощью Dr.WebCurelt угрозу "chromium page malware", вылечить её не удалось. Помогите победить данную заразу, архив с AutuLogger прикрепил.

CollectionLog-2024.03.12-18.43.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

56 минут назад, AveMne сказал:

Обнаружил с помощью Dr.WebCurelt угрозу

 

Найдите его отчёт cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

 

Деинсталлируйте нежелательную программу:

DriverPack

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O1 - Hosts: is empty
O4 - Autorun.inf: D:\autorun.inf - open - AutoRun\AutoRunX\AutoRunX.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\00avg: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

 

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты

Предустановленное ПО не трогайте (не отмечайте галочками), остальное чистим:

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • Убедитесь, что закрыты все браузеры.
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Деинсталлируйте нежелательное ПО:

SearcherBar

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    ProxyServer: [S-1-5-21-3377539451-1441911881-3897519434-1002] => 127.0.0.1:8892
    RemoveProxy:
    Hosts:
    CHR HKU\S-1-5-21-3377539451-1441911881-3897519434-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=01
    CHR HKU\S-1-5-21-3377539451-1441911881-3897519434-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    2021-03-02 18:07 C:\KVRT_Data
    2021-03-02 18:08 C:\Program Files\AVAST Software
    2021-03-02 18:08 C:\Program Files\AVG
    2021-03-02 18:07 C:\Program Files\ByteFence
    2021-03-02 18:08 C:\Program Files\Cezurity
    2021-03-02 18:08 C:\Program Files\COMODO
    2021-03-02 18:08 C:\Program Files\Enigma Software Group
    2021-03-02 18:08 C:\Program Files\ESET
    2021-03-02 18:08 C:\Program Files\Kaspersky Lab
    2021-03-02 18:08 C:\Program Files\Malwarebytes
    2021-03-02 18:08 C:\Program Files\SpyHunter
    2021-03-02 18:08 C:\Program Files (x86)\360
    2021-03-02 18:08 C:\Program Files (x86)\AVAST Software
    2021-03-02 18:08 C:\Program Files (x86)\AVG
    2021-03-02 18:08 C:\Program Files (x86)\Cezurity
    2021-03-02 18:08 C:\Program Files (x86)\GRIZZLY Antivirus
    2021-03-02 18:07 C:\Program Files (x86)\Microsoft JDX
    2021-03-02 18:08 C:\Program Files (x86)\Panda Security
    2021-03-02 18:08 C:\Program Files (x86)\SpyHunter
    2021-03-02 18:07 C:\Windows\speechstracing
    2021-03-02 18:08 C:\Program Files\Common Files\McAfee
    2021-03-02 18:08 C:\ProgramData\AVAST Software
    2021-03-02 18:08 C:\ProgramData\Avira
    2021-03-02 18:08 C:\ProgramData\Doctor Web
    2021-03-02 18:08 C:\ProgramData\ESET
    2021-03-02 18:08 C:\ProgramData\grizzly
    2021-03-02 18:07 C:\ProgramData\Indus
    2021-03-02 18:07 C:\ProgramData\Malwarebytes
    2021-03-02 18:07 C:\ProgramData\MB3Install
    2021-03-02 18:08 C:\ProgramData\McAfee
    2021-03-02 18:08 C:\ProgramData\Norton
    AV: Kaspersky (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    AlternateDataStreams: C:\ProgramData:3f80b7866a646e [1967]
    AlternateDataStreams: C:\ProgramData:fe93a19e34e9a [3882]
    AlternateDataStreams: C:\Temp:f63b9234a2a1965 [1342]
    AlternateDataStreams: C:\Windows:ecde8b8c58b22 [566]
    AlternateDataStreams: C:\Program Files (x86)\AcGasSynchro II:a38d86cdc73ede0 [4110]
    AlternateDataStreams: C:\Program Files (x86)\Common Files:79042dc97 [1444]
    AlternateDataStreams: C:\Windows\System32:1464242f5a [1238]
    AlternateDataStreams: C:\Users\All Users:3f80b7866a646e [1967]
    AlternateDataStreams: C:\Users\All Users:fe93a19e34e9a [3882]
    AlternateDataStreams: C:\Users\Aлександр:2af312984fd6ad4 [290]
    AlternateDataStreams: C:\Users\Все пользователи:3f80b7866a646e [1967]
    AlternateDataStreams: C:\Users\Все пользователи:fe93a19e34e9a [3882]
    AlternateDataStreams: C:\ProgramData\Application Data:3f80b7866a646e [1967]
    AlternateDataStreams: C:\ProgramData\Application Data:fe93a19e34e9a [3882]
    AlternateDataStreams: C:\Users\Aлександр\Application Data:cb6fe22dd0e75 [3974]
    AlternateDataStreams: C:\Users\Aлександр\Local Settings:8b4c9f57b [2022]
    AlternateDataStreams: C:\Users\Aлександр\AppData\Local:8b4c9f57b [2022]
    AlternateDataStreams: C:\Users\Aлександр\AppData\Roaming:cb6fe22dd0e75 [3974]
    AlternateDataStreams: C:\Users\Aлександр\AppData\Local\Application Data:8b4c9f57b [2022]
    AlternateDataStreams: C:\Users\Aлександр\AppData\Local\History:16c00b01054c3d [312]
    AlternateDataStreams: C:\Users\Default\AppData\Local\History:ca4617ee9b [1456]
    FirewallRules: [{501168ED-E1AB-4E23-BC33-9AFF4BEB66EB}] => (Allow) LPort=80
    FirewallRules: [{DFC2017C-4804-4BC3-9BF0-4DE1CA614815}] => (Allow) LPort=443
    FirewallRules: [{F45EFBE0-E6BC-4031-8482-960675A80383}] => (Allow) LPort=20010
    FirewallRules: [{E46995C1-7847-4AEF-80F4-4434D82341BF}] => (Allow) LPort=3478
    FirewallRules: [{01B2E0A9-E0D3-4352-97B1-90849D0A9322}] => (Allow) LPort=7850
    FirewallRules: [{3C45CCAB-79F4-4DA2-91AC-7559EA429F13}] => (Allow) LPort=7852
    FirewallRules: [{DFAD25F5-671F-490B-98EA-90DACD7BDBA9}] => (Allow) LPort=7853
    FirewallRules: [{15E1B27B-8F0F-4771-861E-5340D0493DB1}] => (Allow) LPort=27022
    FirewallRules: [{4BFADD50-FE58-4D40-9F89-5072C9A2BF8C}] => (Allow) LPort=6881
    FirewallRules: [{871E7D49-E5CC-436B-975A-6630350441B3}] => (Allow) LPort=33333
    FirewallRules: [{FF9F331C-C706-4B80-8A3E-42C0D7EE9F68}] => (Allow) LPort=20443
    FirewallRules: [{38ECE833-3B77-48D7-84F8-D091496BCE09}] => (Allow) LPort=8090
    FirewallRules: [{6B562E98-3290-49E4-9561-5DFB7386183A}] => (Block) LPort=445
    FirewallRules: [{DED5FE66-FEC4-41F9-AFD0-DD333597363E}] => (Block) LPort=445
    FirewallRules: [{2FD96D3D-5067-4186-B197-849F863DD8E3}] => (Block) LPort=139
    FirewallRules: [{C0DD2B0B-0922-446A-924F-93BF0D842AE0}] => (Block) LPort=139
    FirewallRules: [{51FD8D96-F3DA-452D-859E-BD017E80601B}] => (Block) LPort=445
    FirewallRules: [{CCB992F3-DAC2-4653-BCD7-50B36EAE9948}] => (Block) LPort=445
    FirewallRules: [{50808572-BC1F-405A-8E45-89656561D9FF}] => (Block) LPort=139
    FirewallRules: [{9BC009C9-62AD-4732-BED2-0E34231E5010}] => (Block) LPort=139
    FirewallRules: [{B1830865-31CC-4758-8385-AF4AFE53BE76}] => (Allow) E:\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{1C68CC7A-8453-4FB4-A820-6F16F6E70756}] => (Allow) E:\360\Total Security\360TsLiveUpd.exe => Нет файла
    startbatch:
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\nahd6ha2.default\cache2\*.*"
    del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\nahd6ha2.default-release\cache2\*.*"
    endbatch:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.


 

Ссылка на комментарий
Поделиться на другие сайты

Отключите в Хроме все расширения, в т.ч. стандартные. Проверьте ещё раз и сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Folclor
      От Folclor
      Добрый день, обнаружил у себя на пк вирус net:malware.url который сильно нагружает процессор, выполнил сканирование и попробовал его удалить, что не принесло результатов, прошу помощи у знатоков в решении данного вопроса. 

    • Xynire
      От Xynire
      Измучал меня этот троян. Антивирус борется с ним, но после перезагрузки будто ничего не было. Заранее благодарю
    • Vopj
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • KakoeImyaSdelat
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • Константин agromoll34
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...