Chromium:page.malware.url не удаляется

[paradise]

В один день решил скачать читы для игры, естественно с левых сайтов, понимая что наверное будут вирусы, перед открытием первого файла установил dr web cureit, тк раньше им пользовался и он помогал. После скачивания и открытия примерно 3 файлов одного приложения с рахзных сайтов (одного приложения, потому что оно не работало после скачивания) решил проверить с помощью drweb cureit. Выдал 4 вируса, в том числе этот неудаляемый, все обезвредил. Перезагружаю ПК, сканирую cureit'ом опять вылазит этот же вирус. Наверное подхватил с этих левых сайтов, может раньше, это знать не могу потому что не проверял комп на вирусы

CollectionLog-2024.10.17-08.19.zip

 

 

Изменено 17 октября, 2024 пользователем paradise

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Atom

Bonjour

WinZip 25.0

 

 

Malwarebytes - устаревшая версия, тоже деинсталлируйте.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

45 минут назад, paradise сказал:

с помощью drweb cureit

Найдите его отчёт cureit.log, упакуйте в архив и тоже прикрепите к следующему сообщению.

[paradise]

cureit.log я поместил в архив, размер слишком большой. Это отчет за сканирование сегодня утром, т.к я окончательно хотел убедится в том что вирус не удаляется

CollectionLog-2024.10.17-09.34.zip AV_block_remove_2024.10.17-09.18.log cureit.log.zip.rar

[Sandor]

Хорошо, продолжаем.

1. Ещё одну нежелательную программу удалите - YoutubeDownloader

Если не получится стандартно, удалите принудительно через Geek Uninstaller

 

2. 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

3. 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\COMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Runtime Broker.lnk    ->    C:\Users\COMP\AppData\Local\Temp\Runtime Broker.exe (file missing) (2024/10/16)
O22 - Tasks: CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing)
O22 - Tasks: iTop Christmas Task (One-Time) - C:\Program Files (x86)\iTop VPN\Pub\itopxmas.exe /vpn (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1646106932 - C:\Users\COMP\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks: SPKG - C:\Users\COMP\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\COMP\AppData\Local\PEmpA\URnzlRt.py wDDaGcx (file missing)
O22 - Tasks: startaman - C:/Program Files (x86)/aman/Aman.exe (file missing)
O22 - Tasks: VWYINJ - C:\Users\COMP\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\COMP\AppData\Local\PEmpA\URnzlRt.py 94d9d3f8453805d59651fb8e47ed8813 (file missing)
O22 - Tasks_Migrated: SPKG - C:\Users\COMP\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\COMP\AppData\Local\PEmpA\URnzlRt.py wDDaGcx (file missing)
O22 - Tasks_Migrated: VWYINJ - C:\Users\COMP\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\COMP\AppData\Local\PEmpA\URnzlRt.py 94d9d3f8453805d59651fb8e47ed8813 (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

 

4.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[paradise]

Кстати, может как то поможет. Этот гребанный пользователь "John", остался после майнера. Когда я активатор винды устанавливал. Он не давал открывать ни один сайт антивируса, кроме касперского. Я его скачал, касперский его удалил. А во время удаления, он мне вообще не давал возможности ничего открыть. Потом ПК перезагрузился и всё было нормально. Но вот про пользователся я забыл. И до того как я создал тему, я сам пытался решить проблему. Этого пользователся я если что удалил вроде через FRST64

ClearLNK-2024.10.17_09.55.36.log Addition.txt FRST.txt

Изменено 17 октября, 2024 пользователем paradise
добавить информацию

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {83643E0C-E06D-4AF9-9F47-F6F203CFF2AD} - \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem122.0.6253.8{833016A5-1A9A-4C81-9375-60E2E27DEF0A} -> Нет файла <==== ВНИМАНИЕ
  Task: {61F73332-6BE7-4D34-BCD2-5D0A6BB98036} - System32\Tasks\FRAPS => D:\Игры Ромы\FPS\fraps.exe  (Нет файла)
  Task: {E5443E2D-518B-4A2F-A608-B1E91FA5AC6A} - System32\Tasks\KryptexElevation => "C:\Users\COMP\AppData\Local\Programs\kryptex-app\Kryptex.exe"  (Нет файла)
  Task: {1886D2D5-BDB9-4F27-B7B9-8011EB24B5C0} - System32\Tasks\KryptexElevationFromStartup => "C:\Users\COMP\AppData\Local\Programs\kryptex-app\Kryptex.exe"  --from-startup (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\COMP\AppData\Local\Google\Chrome\User Data\Default\Extensions\algkncmgkhohhpmjnfdddohdgdblmegd
  C:\Users\COMP\AppData\Local\Google\Chrome\User Data\Default\Extensions\gopekdefbcehhdiejdiaijhojgbepgec
  C:\Users\COMP\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ibknafobnmndicojahlppolcaaibngjf
  C:\Users\COMP\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\klkjgpmdjocaabfgddmnbahcaibjnene
  C:\Users\COMP\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\klkjgpmdjocaabfgddmnbahcaibjnene
  C:\Users\COMP\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\klkjgpmdjocaabfgddmnbahcaibjnene
  C:\Users\COMP\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\algkncmgkhohhpmjnfdddohdgdblmegd
  CHR HKU\S-1-5-21-28762901-797977619-1621662949-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [klkjgpmdjocaabfgddmnbahcaibjnene]
  CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
  CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
  CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
  C:\Users\COMP\AppData\Roaming\Opera Software\Opera Stable\Extensions\ppnhkljoeakccehjfmhmoobeknclpcno
  S3 GPU-Z-v2; \??\C:\Users\COMP\AppData\Local\Temp\GPU-Z-v2.sys [X] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3442]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3442]
  AlternateDataStreams: C:\ProgramData\goyslgxe.nnn:7297ACA992 [3442]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log:5ACBC90093 [3442]
  AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log:204739A7F2 [3442]
  AlternateDataStreams: C:\ProgramData\rsEngine.config.backup:CF02139FF4 [3442]
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [420]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\hidemy.name VPN.lnk:4B0F41508C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Seed4.Me.lnk:9F608F6BAD [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WireGuard.lnk:1C027AF69D [3442]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
  FirewallRules: [TCP Query User{0201F43A-15CA-4805-A533-D093DCAB067F}C:\users\comp\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\comp\mediaget2\qtwebengineprocess.exe => Нет файла
  FirewallRules: [UDP Query User{1969B672-8C85-495D-9DA8-B00B9B2870E0}C:\users\comp\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\comp\mediaget2\qtwebengineprocess.exe => Нет файла
  FirewallRules: [{13EAE1C7-A432-4A04-A67B-F8586D32E93C}] => (Allow) C:\Users\COMP\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{47543159-2B43-4EAF-914E-8A95C77C56C9}] => (Allow) C:\Users\COMP\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{64DBC3E0-5906-4D0A-9173-FA709FABAD06}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{AD7872CE-85E5-4F02-B837-224448E1D262}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[paradise]

Fixlog.txt У меня удалились расширения яндекса на поиск, стоит подождать как доделаем всё до конца, или можно установить cейчас? 

Изменено 17 октября, 2024 пользователем paradise

[Sandor]

Хорошо.

Сделайте ещё раз проверку Cureit и сообщите результат.

[paradise]

Такой вопрос, то что он пишет об устарении, это не страшно?

Просто сейчас обновить не смогу, тк доступа к почте нет, из-за выхода из аккаунта. Телефон не рядом.

[Sandor]

Не страшно.

[paradise]

cureit.rar Показало что чисто, спасибо большое за помощь. Премного благодарен, а то сам бы и в век наверное не управился

Изменено 17 октября, 2024 пользователем paradise

[paradise]

Что то странное, мне пришлось перезагрузить ПК из-за обстоятельств и эта хрень опять появилась. Может быть тут уже дело в самом хроме, точнее в аккаунте? Единственное что я делал, это просто зашёл в аккаунты gmail, vk и этого сайта. И немного в настройках хрома шаманил над внешним видом

CollectionLog-2024.10.17-11.51.zip cureit.rar

Изменено 17 октября, 2024 пользователем paradise

[Sandor]

Сделайте сброс настроек браузера Хром.

[paradise]

Я минут 20 назад снёс и вирусняк естественно ушёл вроде. Как я понял, он сидел в файле с настройками чего-то "Preferences", причём у каждого аккаунта в который я входил после заражения ПК. Щас заново скачивается

 

[Sandor]

Если этот аккаунт используется на нескольких устройствах, всё равно сделайте сброс.