Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

[РЕШЕНО] CHROMIUM:PAGE.MALWARE.URL и самостоятельно устанавливающиеся расширения в браузерах

ARTEMIS

Автор ARTEMIS
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

ARTEMIS

ARTEMIS

Опубликовано
Опубликовано

В браузере самостоятельно устанавливается дополнение Find it, T-cashback. Удаляю, но при следующем запуске браузера оно снова в расширениях 

cure it и malwarebytes не помогает, находит их но не лечит

Помогите удалить гадости эти.

ARTEMIS

ARTEMIS

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

Обнаружил в браузерах надпись управляется вашей организацией

 2024-05-27_21-34-22.png.545a9355c8280d6894b62eab40154464.png

Пробовал удалять политики но с каждым перезапуском пк появляется снова.

Так же загружаются расширения T-cashback, Find it, DuckDuckGo, пробовал удалять но с каждым перезапуском браузера появляются снова

2024-05-27_21-09-05.thumb.png.5ec237b021cb467228873d9ad6bdc988.png

Пробовал сканить CureIt находит угрозу CHROMIUM:PAGE.MALWARE.URL, если пробовать вылечить то не лечится

980624845_photo1716833124(1).thumb.jpeg.2058c0197a584613a2417e7966fdd189.jpeg

Прошу помогите удалить этот вирус

CollectionLog-2024.05.27-21.22.zip

Сообщение от модератора thyrex
Темы объединены

 

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

favourite-betray

oeksound soothe2

VideoAdsBlocker

Кнопки сервисов Яндекса на панели задач

 

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

ARTEMIS

ARTEMIS

Опубликовано
  • Автор
Опубликовано (изменено)

FRST.txt Addition.txt

1 час назад, Sandor сказал:

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

FRST.txt Addition.txt

Изменено пользователем ARTEMIS
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {7A44DFF8-1F97-4785-820A-B52C5B094F86} - System32\Tasks\favourite-betray => C:\ProgramData\anymore-foolish\bin.exe  /H (Нет файла)
Task: {9926EDD6-05BB-4676-9143-7F4350FD8B9E} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe  (Нет файла)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\OVox.lnk:D4D1186573 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:2D7222B38F [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:ECAFE1B466 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waves Central.lnk:0645AF50E9 [3450]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8596]
FirewallRules: [{4D07FE9F-648A-4351-A935-67ED658F67ED}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{03342E26-CE92-4B45-8A69-69461078D097}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

ARTEMIS

ARTEMIS

Опубликовано
  • Автор
Опубликовано
10 минут назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {7A44DFF8-1F97-4785-820A-B52C5B094F86} - System32\Tasks\favourite-betray => C:\ProgramData\anymore-foolish\bin.exe  /H (Нет файла)
Task: {9926EDD6-05BB-4676-9143-7F4350FD8B9E} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe  (Нет файла)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\OVox.lnk:D4D1186573 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:2D7222B38F [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:ECAFE1B466 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waves Central.lnk:0645AF50E9 [3450]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8596]
FirewallRules: [{4D07FE9F-648A-4351-A935-67ED658F67ED}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{03342E26-CE92-4B45-8A69-69461078D097}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Пишите, пожалуйста, в нижнем поле быстрого ответа, не нужно полностью цитировать предыдущее сообщение.

 

Что сейчас "говорит" CureIt?

  • thyrex изменил название на CHROMIUM:PAGE.MALWARE.URL и самостоятельно устанавливающиеся расширения в браузерах
ARTEMIS

ARTEMIS

Опубликовано
  • Автор
Опубликовано

Ну вроде больше не появляется, спасибо большое за помощь!!!!!

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус - рат
      Автор Quester1337
      Скачал программу Exloader и чуть упала производительность пк, поэтому есть подозрения, что возможно вирус, тогда есть ли вариант оставить ос и удалить его? или лучше снести виндовс? логи прилагаю.
      CollectionLog-2026.04.13-04.06.zip FRST.txt Addition.txt
    • RRE
      Вирус (майнер), маскирующийся под dwm.exe
      Автор RRE
      Здравствуйте, столкнулся с вирусом, подменяющим системный файл dwm.exe, в диспетчере 2 процесса dwm.exe, однако оба "располагаются" в C:Windows\System32, стандартные антивирусники ничего не выявляют. uVS определила DWM.EXE[14036] как FAKE:C\WINDOWS\SYSTEM32. Не могли бы вы подсказать скрипт для uVS или другие методы, с помощью которых можно избавиться от данного вируса? Прилагаю логи от AutoLogger и образ автозагрузки(uVs)

       
      Сообщение от модератора Mark D. Pearlstone Файлы удалены по просьбе автора.
       
    • Рязанский
      [РЕШЕНО] долго загружается, нет панелей окон и значков (возле часов)
      Автор Рязанский
      поймал вирус, пролечил Dr.Web CureIt!, через некоторое время пропала панель окон, пропали значки, загрузка замедлилась.
      Создал новую учетную запись - дня три работала нормально, затем всё повторилось, как на прежней.
      Есть ещё одна учётка, ограниченная - в ней всё работает.
      Сейчас проверил Kaspersky Virus Removal Tool ничего подозрительного не нашёл.
      В журнале системы ошибки: "Служба "bits" завершена из-за ошибки Не удается найти указанный файл.", "Служба "UsoSvc" завершена из-за ошибки Не удается найти указанный файл.", "Служба "wuauserv" завершена из-за ошибки Не удается найти указанный файл."
      Лог из AutoLogger вложил.
       
      CollectionLog-2026.04.03-22.00.zip
    • pupochhek228
      словила вирус
      Автор pupochhek228
      приблизительно 2 недели у меня на ноутбуке начала появляться вот эта ошибка, прикреп ниже. В начале я пыталась найти файл и удалить его, но найти не удалось и я благополучно забила на это. Все это время эта ошибка у меня регулярно появлялась, в зависимости от программы частота ее появлений тоже менялась. Вот получается сегодня у меня значительно ухудшилась работа компа, все вылетало, плохо работала, и после захода в игру лицензированную она вообще не убиралась. Я решила проверить что это, оказалось это вирус который не давал мне скачать антивирус и вообще зайти куда то у меня постоянно все вылетало.Я много раз перезагружала комп, после я перезагрузила с безопасным режимом и еще раз обычно, после этого я смогла провести проверку через антивирус курейт и касперский, прикреп ниже, и вот что обнаружило, логи я тоже прикрепила. помогите пожалуйста, очень боюсь за комп. но абсолютно в этом не разбираюсь
       
      CollectionLog-2026.03.28-23.01.zip
    • Kirl
      [РЕШЕНО] Проблема с ScreenConnect (возможно ратник?)
      Автор Kirl
      CollectionLog-2026.03.27-15.55.zip Давайте сразу начнем с того, что сегодня включив ПК и введя пароль, мне без всяких загрузок предъявляются, что в доступе отказано, хотя пароль правильный и состоит из цифр, там раскладка не играет роли. После перезагрузки проблема решилась, но я очень перепугался, у меня первый раз такое и теперь я боюсь выключать ПК вообще. Вся история резко началась 25.03.26 в 3:58. Дефендер выдает следующее: Trojan:Win32/Wacatac.H!ml Эта опасная программа выполняет команды злоумышленника. C:\Users\Kir\Documents\ScreenConnect\Temp\SimpleRunPE.exe - угроза критическая. Я удалил её через дефендер. Потом через некоторое время, уже днём, сидя в браузере, брандмауэр жалуется на что-то подозрительное (есть скриншот, могу прикрепить если нужно будет и в целом у меня иного информации), но если кратко, там путь был примерно windows/cashes/.../securityhealthhost.exe, я не дал доступа, нажал отмена. Я пошел по пути этого подозрительного файла, сам найти не смог, файл был невидимым, хотя скрытые папки показаны, поэтому я просто скопировал путь и наткнулся на качку странных файлов, один их которых назывался SRBminer, но папка была пуста. Естественно у меня уже с самого начала, с первого дня, какая-то паника и страх уже. Что я только не пытался делать.. и процессы смотреть, и удалять, и задачи удалять, и автономным модулем дефендер проходился и т.п. Также у меня есть точка восстановления на 6 марта, всё покоя не дает, вдруг сработает?..  На следующий день - 26.03.26 в 19:03 при включении ПК я вижу это Trojan:Win32/Suweezy Эта опасная программа выполняет команды злоумышленника. Угроза критическая. И куча, куча разных затронутых элементов в реестре, не буду всё отправлять пока что, чтобы не спамить, скину один элемент: regkeyvalue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\ Он вроде как дефендер пытался сломать или отключить постоянно. Потом периодически заходя в журнал защиты горел желтый восклицательный знак, якобы защита отключена, устройство может быть уязвимо, но перезаходя всё обратно восстанавливалось.. Также потом еще кучку других странных файлов находил, например в windows/cashes/D3F4E2A1/RuntimeHost.exe. Позже браузер начал постоянно выпрашивать сброс настроек, заходя в него. Много информации искал в интернете, сам пытался что-то делать, но всё без толку как будто. В общем, чтобы не спамить большим количеством текста, пожалуй на этом закончу.. Скажу что последнее что я делал, это пропускал весь ПК через дефендер, KVRT и Dr.Web. Они что-то находили (кроме дефендера) ,что-то лечили, но по ощущениям никакого толка. Скорее всего я зачистил только майнеры и трояны, который заносит ScreenConnect, а само сердце спокойно работает. По-моему еще это безйфайловый вирус, который живет в оперативной памяти. Заранее спасибо
×
×
  • Создать...