Dr.web находит вирус: chromium page malware url и не может его удалить.

[LapkaDrapka 0]

Пробовал удалить с помощью adwcleaner, не помогло.  Перед тем как я нашёл вирус, некоторые мои аккаунты были украдены.

Как себя обезопасить и убрать эту штуку?CollectionLog-2024.04.13-22.10.zip

[Sandor 1 254]

Здравствуйте!

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[LapkaDrapka 0]

Здравствуйте, Вот... AdwCleaner[S00].txt

[Sandor 1 254]

Продолжаем.

 

1. 

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[LapkaDrapka 0]

Addition.txtFRST.txtAdwCleaner[C01].txt

[Sandor 1 254]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  C:\Users\kalin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok
  C:\Users\kalin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\fheoggkfdfchfphceeifdbepaooicaho
  CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
  CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
  CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  S3 cpuz157; \??\C:\Windows\temp\cpuz157\cpuz157_x64.sys [X] <==== ВНИМАНИЕ
  S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
  S3 SIUSBXP; \??\C:\Windows\system32\drivers\SiUSBXp.sys [X]
  S2 McAfee WebAdvisor; "C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe" [X]
  AlternateDataStreams: C:\Windows:CM_be7995bdfc8d8ab791fbfefa187c3875a89ccddaea42f3929155d8af0adee7c6 [26]
  AlternateDataStreams: C:\ProgramData\droidcam-client-options-v2:8329C6407A [3442]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{53f2aaa6-6121-11ee-b808-18c04d4aabd0}.TM.blf:7F99AA79C8 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{53f2aaa6-6121-11ee-b808-18c04d4aabd0}.TMContainer00000000000000000001.regtrans-ms:54DB4E5806 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{53f2aaa6-6121-11ee-b808-18c04d4aabd0}.TMContainer00000000000000000002.regtrans-ms:8066C0542A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\Users\kalin\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\kalin\Downloads\6u0vm839.exe:MBAM.Zone.Identifier [203]
  AlternateDataStreams: C:\Users\kalin\Downloads\adwcleaner.exe:MBAM.Zone.Identifier [141]
  AlternateDataStreams: C:\Users\kalin\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{97A89DA6-A81E-48FC-8E98-13F0AF43ADD2}] => (Allow) LPort=54925
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[LapkaDrapka 0]

Fixlog.txt

 

[Sandor 1 254]

Вы уже ранее выполняли чужие скрипты? Если да, то вы должны знать, что скрипты пишутся индивидуально. В лучшем случае выполнение чужого ничего вам не даст, в худшем же - может нанести вред.

 

Удалите старый отчёт cureit.log и сделайте ещё раз проверку. Новый лог прикрепите.

[LapkaDrapka 0]

FRST.txt

 

[Sandor 1 254]

Нет, я подразумевал проверку с помощью CureIt от Доктора. Результат вы показали в первом сообщении.

[LapkaDrapka 0]

cureit.zip

[Sandor 1 254]

Сделайте сброс настроек браузера Chrome.

После этого повторите проверку CureIt и сообщите результат.

[LapkaDrapka 0]

cureit.zip

Всё, я проблемы не наблюдаю, спасибо большое 

[Sandor 1 254]

Хорошо. Проделайте завершающие шаги, пожалуйста:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[LapkaDrapka 0]

SecurityCheck.txt