[РЕШЕНО] CHROMIUM:PAGE.MALWARE.URL и самостоятельно устанавливающиеся расширения в браузерах

27 мая

В браузере самостоятельно устанавливается дополнение Find it, T-cashback. Удаляю, но при следующем запуске браузера оно снова в расширениях

cure it и malwarebytes не помогает, находит их но не лечит

Помогите удалить гадости эти.

27 мая

Здравствуйте!

Прочтите и выполните Порядок оформления запроса о помощи

27 мая

Здравствуйте!

Обнаружил в браузерах надпись управляется вашей организацией

Пробовал удалять политики но с каждым перезапуском пк появляется снова.

Так же загружаются расширения T-cashback, Find it, DuckDuckGo, пробовал удалять но с каждым перезапуском браузера появляются снова

Пробовал сканить CureIt находит угрозу CHROMIUM:PAGE.MALWARE.URL, если пробовать вылечить то не лечится

Прошу помогите удалить этот вирус

CollectionLog-2024.05.27-21.22.zip

Сообщение от модератора thyrex

Темы объединены

28 мая

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

favourite-betray

oeksound soothe2

VideoAdsBlocker

Кнопки сервисов Яндекса на панели задач

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

28 мая

FRST.txt Addition.txt

1 час назад, Sandor сказал:

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Что не сможете удалить стандартно, удалите принудительно через Geek Uninstaller

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

FRST.txt Addition.txt

Изменено 28 мая пользователем ARTEMIS

28 мая

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {7A44DFF8-1F97-4785-820A-B52C5B094F86} - System32\Tasks\favourite-betray => C:\ProgramData\anymore-foolish\bin.exe  /H (Нет файла)
Task: {9926EDD6-05BB-4676-9143-7F4350FD8B9E} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe  (Нет файла)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\OVox.lnk:D4D1186573 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:2D7222B38F [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:ECAFE1B466 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waves Central.lnk:0645AF50E9 [3450]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8596]
FirewallRules: [{4D07FE9F-648A-4351-A935-67ED658F67ED}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{03342E26-CE92-4B45-8A69-69461078D097}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

28 мая

10 минут назад, Sandor сказал:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:


Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {7A44DFF8-1F97-4785-820A-B52C5B094F86} - System32\Tasks\favourite-betray => C:\ProgramData\anymore-foolish\bin.exe  /H (Нет файла)
Task: {9926EDD6-05BB-4676-9143-7F4350FD8B9E} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe  (Нет файла)
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\OVox.lnk:D4D1186573 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:2D7222B38F [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall SoundToys 5.lnk:ECAFE1B466 [3450]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waves Central.lnk:0645AF50E9 [3450]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8596]
FirewallRules: [{4D07FE9F-648A-4351-A935-67ED658F67ED}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{03342E26-CE92-4B45-8A69-69461078D097}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Fixlog.txt

28 мая

Пишите, пожалуйста, в нижнем поле быстрого ответа, не нужно полностью цитировать предыдущее сообщение.

Что сейчас "говорит" CureIt?

28 мая

до сих пор находит(

29 мая

Сделайте сброс настроек браузера Chrome. Вместо Malwarebytes можете использовать CureIt.

29 мая

Ну вроде больше не появляется, спасибо большое за помощь!!!!!

29 мая

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

6 июня

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Войти

[РЕШЕНО] CHROMIUM:PAGE.MALWARE.URL и самостоятельно устанавливающиеся расширения в браузерах

Рекомендуемые сообщения

ARTEMIS 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ARTEMIS 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ARTEMIS 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ARTEMIS 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ARTEMIS 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

ARTEMIS 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 282

Ссылка на сообщение

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282

Sandor 1 282