KIS обнаружил рекламные программы

[Камиль Махмутянов]

Здравствуйте, извиняюсь за беспокойство, недано KIS стал обнаруживать рекламные программы. Вчера одну, сегодня 2. Удалить не может, после перезагрузки компьютера они возвращаются. прикрепляю логи.

CollectionLog-2024.11.13-14.42.zip

[Sandor]

Здравствуйте!

 

Деинсталлируйте программу

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Камиль Махмутянов]

Благодарю, прикрепляю получившиеся файлы.

Addition.txt FRST.txt

Изменено Среда в 12:26 пользователем Камиль Махмутянов

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: c:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  C:\Users\ripx5\AppData\Local\Google\Chrome\User Data\Default\Extensions\fnpbeacklnhmkkilekogeiekaglbmmka
  C:\Users\ripx5\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\capfjkpfkbgnmcldnlgpehmebopmohim
  C:\Users\ripx5\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\nhbjlkefnjdcddohmobkffflhlgbdelp
  2023-11-28 11:17 C:\Program Files\RDP Wrapper
  2023-11-28 11:17 C:\Program Files (x86)\360
  2023-11-28 11:17 C:\ProgramData\RDP Wrapper
  2023-11-28 11:17 C:\ProgramData\ReaItekHD
  2023-11-28 11:17 C:\ProgramData\Setup
  2023-11-28 11:17 C:\ProgramData\Windows Tasks Service
  2023-11-28 11:17 C:\ProgramData\WindowsTask
  AV: Norton 360 (Enabled - Out of date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}
  AV: Norton Security (Enabled - Up to date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
  FW: Norton Security (Enabled) {A6045214-8EAD-7B9C-2E68-BA2B11C858F1}
  FW: Norton 360 (Enabled) {96F5A003-BE88-6851-3AAD-B25C2F288CAB}
  Ap Lottip 1.1.3.408 (HKLM-x32\...\{16e8f3c9-f793-49cb-ae12-32809bcd5f71}) (Version: 1.1.3.408 - Pedraza-Reina S. de H.) Hidden
  crows overcome 2.5.10.144 (HKLM-x32\...\{e424a250-9ab0-4048-b364-f1b97c2e033d}) (Version: 2.5.10.144 - De luca e figli e figli) Hidden
  FirewallRules: [{9FFC855E-F801-4D44-ACED-D0B50C67BB5C}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  FirewallRules: [{E668BBE6-938C-47FB-9DDA-601536DA0AF2}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появятся скрытые ранее

Ap Lottip 1.1.3.408
crows overcome 2.5.10.144

Удалите их. Если не сможете стандартно, удалите принудительно с помощью Geek Uninstaller

 

Видны следы майнера годичной давности. Для верности сделайте следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[Камиль Махмутянов]

Fixlog.txt AV_block_remove_2024.11.13-16.46.log

[Sandor]

Хорошо. Последите, будут ли дальше обнаруживаться рекламные программы и сообщите результат.

[Камиль Махмутянов]

Спасибо вам большое, вроде все чисто!

[Sandor]

Сделайте тогда финальные шаги, а тему некоторое время закрывать не будем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.