Подгружаются вирусы после удаления, Dr. Web не лечит

[predreamer]

Зависли вирусы на ноуте, иногда по нескольку раз открывается cmd, после чего яндекс браузер закрывается и в истории простыня всяких брендовых сайтов, на которых не был, и ещё это расширение T-cashback вечно возвращается. Dr. Web находит chromium:page.malware.url, трояны стартеры и прочее, лечит, и они сразу же возвращаются.

CollectionLog-2025.02.10-11.27.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[predreamer]

Вот, сделано.

10.02.2025 в 16:29, safety сказал:

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

 

DESKTOP-DBDDQQJ_2025-02-12_10-10-57_v4.99.8v x64.7z

Изменено 12 февраля пользователем predreamer
Не полностью соблюл инструкцию

[safety]

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\TEMP\TMNDJWKUWPKDYZZF\GPNBFFSJAYXHBDRY.EXE
regt 39
hide %SystemDrive%\PROGRAM FILES\COMMON FILES\WONDERSHARE\PDFELEMENT\PREVIEW\1.0.0.50\WSAP-PDFELEMENT.DLL
;------------------------autoscript---------------------------

delall D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delall D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delall D:\LDPLAYER\LDPLAYER9\DNUNINST.EXE
delall %SystemRoot%\TEMP\TMNDJWKUWPKDYZZF\GPNBFFSJAYXHBDRY.EXE
delall %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delall D:\ЗАГРУЗКИ\LDPLAYER9_RU_1007_LD.EXE
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\ODBMJGIKEDENICICOOKNGDCKHKJBEBPD\1.0.0.2_0\T-СASHBACK — КЭШБЭК-СЕРВИС
delall %SystemDrive%\USERS\VERMA\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
delref [*.]CCLEANER-DOWNLOAD.XYZ,*
delref [*.]MAIL-NOTIFICATION.INFO,*
delref [*.]MNTHOR.XYZ,*
delref [*.]PINGHAUZ.XYZ,*
delref [*.]S-TRACKING.XYZ,*
delref [*.]BEST-LOAN-INFO.COM,*
delref [*.]SUPERTOPFREEGAMES.COM,*
delref [*.]ZARABOTOK-ONLINE.XYZ,*
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPDPBFANLLABHBLEDLNEMLNMCHFEHELJP%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPICLHKKBGABHAPKLNGKPAHNAAFKGPNE\2.0.0.6_0\FIND-IT.PRO SEARCH
delall %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\PROGRAMS\F571A9A6\3DE27FE1A8.MSI
delall %Sys32%\TASKS\BAUCNRSHDXHTV2
delall %SystemDrive%\PROGRAMDATA\CONSCIOUS-DISTINCT\BIN.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\KTMQRXQPCYWZC\CBZDRAM.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\NSGJHUMHFMSXWTTONWR\DKGFYRF.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\OGVQLULXFOTU2\HMVPSUIJZVXVD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\MFPLROQWVXTU2\HYRSJGYOSUTIQ.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\TPDPQNJMUEHGC\IIJXOYP.DLL
delall %Sys32%\TASKS\MFKIOPRPBFIGQ2
delall %SystemDrive%\PROGRAM FILES (X86)\GZUWRGKEZUKWBIMSVZR\MFUNASX.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\QQOEVYARCJIU2\OOGVENJGHLRFQ.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\LGITDMJKU\OVNGLF.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KXCHJAGJU\PDVJWK.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\FSVTDZRDU\QXUMSA.DLL
delall %Sys32%\TASKS\SIMMZCDEWYYFX2
delall %SystemDrive%\PROGRAM FILES (X86)\GBSHICSDBRGU2\TPZDFVYJZWEKA.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\SCPAALVRHDXZJMHRGIR\WIBJRHW.DLL
delall %Sys32%\TASKS\WJQXGQFJXVZCP2
delall %SystemDrive%\PROGRAM FILES (X86)\MMMVVCBHVRTTC\XFWKPGO.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\LHECDVUJU\YSGOUI.DLL
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAMDATA\XJAIKAFCIXMCTRVB\IJHMATL.WSF
delref %SystemDrive%\PROGRAMDATA\CVBCDITDDFSCHPVB\DAISKQW.WSF
delref %SystemDrive%\PROGRAMDATA\NEJAVHERVFEKJSVB\LDKNPTY.WSF
delref %SystemDrive%\PROGRAMDATA\PQQNMZXIEOFZFBVB\RPAWMVN.WSF
delref %SystemDrive%\PROGRAMDATA\NCPTKLVWRPOWTQVB\JSGRRFS.WSF
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\TEAMS INSTALLER\TEAMS.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.9.1.686\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.9.1.686\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.9.1.686\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.9.1.686\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.9.1.686\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.9.4.864\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref E:\AUTORUN.EXE
delref E:\SETUP.EXE
delref %SystemDrive%\USERS\VERMA\APPDATA\ROAMING\MOVAVI VIDEO EDITOR PLUS 2021\VIDEOEDITORPLUS.EXE
delref %SystemDrive%\USERS\VERMA\APPDATA\ROAMING\TELEGRAM DESKTOP\TELEGRAM.EXE
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\VIBER\VIBER.EXE
delref %SystemDrive%\USERS\VERMA\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\VERMA\APPDATA\ROAMING\MOVAVI VIDEO EDITOR PLUS 2021\MOVAVI VIDEO EDITOR PLUS 2021.URL
delref %SystemDrive%\USERS\VERMA\APPDATA\ROAMING\MOVAVI VIDEO EDITOR PLUS 2021\UNINST.EXE
delref %SystemDrive%\USERS\VERMA\APPDATA\ROAMING\TELEGRAM DESKTOP\UNINS000.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Сделайте новый образ автозапуска в uVS для контроля.

+

Плюс просьба, не цитировать мои сообщения. Пишете просто свой ответ в окне редактора.

Изменено 12 февраля пользователем safety

[predreamer]

Cmd уже не открылась, браузер автоматически не закрылся. Надеюсь это значит, что всё получилось.

2025-02-12_10-50-23_log.txt DESKTOP-DBDDQQJ_2025-02-12_10-53-42_v4.99.8v x64.7z

[safety]

Уже лучше. Продолжаем чистить. Новый скрипт для uVS.

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES (X86)\MFPLROQWVXTU2\NJNXMOAYMFTTG.DLL
delref %SystemDrive%\USERS\VERMA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.38_0\SAVEFROM.NET ПОМОЩНИК
deltsk %Sys32%\TASKS\BAUCNRSHDXHTV2
deltsk %Sys32%\TASKS\MFKIOPRPBFIGQ2
deltsk %Sys32%\TASKS\SIMMZCDEWYYFX2
deltsk %Sys32%\TASKS\WJQXGQFJXVZCP2
delall %SystemDrive%\PROGRAM FILES (X86)\HCLIIVWQIDZQC\FQMIEHV.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\LHECDVUJU\JXOYFT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\YRJLSKSGJKNTEMGUSRR\MGZULUO.DLL
apply

regt 40
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте логи FRST для контроля.

 

Изменено 12 февраля пользователем safety

[predreamer]

Готово.

CollectionLog-2025.02.12-11.38.zip DESKTOP-DBDDQQJ_2025-02-12_11-29-08_v4.99.8v x64.7z 2025-02-12_11-27-04_log.txt

[safety]

Хорошо.

обратите внимание, что я запросил логи FRST для контроля.

 

Цитата

добавьте логи FRST для контроля.

 

[predreamer]

FRST.txtAddition.txtПрошу прощения.

[safety]

Хорошо,

по очистке системы, продолжаем.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
FirewallRules: [{7C19E0DB-D250-4068-9A77-61071B54DB1F}] => (Allow) 㩃啜敳獲癜牥慭䅜灰慄慴剜慯業杮瑜捯塜煆潂攮數 => Нет файла
FirewallRules: [{133A48A6-8F7C-46E0-9372-47BE1E4141E3}] => (Allow) 㩃啜敳獲癜牥慭䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{2C3A7A3A-008E-4EAB-A19C-BC4FF37529EA}] => (Allow) 㩃啜敳獲癜牥慭䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{D51CC8E6-450E-4AB6-B939-AEFE97AB7F35}] => (Allow) 㩃啜敳獲癜牥慭䅜灰慄慴剜慯業杮瑜捯摜䉣⹁硥e => Нет файла
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\privoxy.lnk [2020-11-04]
ShortcutTarget: privoxy.lnk -> C:\Users\Public\Privoxy\privoxy.exe (Нет файла)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\webserv.lnk [2020-11-10]
ShortcutTarget: webserv.lnk -> C:\Users\Public\proxy-pac\webserv.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {0F0516F6-7B78-4814-BCA9-AB4528C73B17} - \BAuCnRsHDxHTv2 -> Нет файла <==== ВНИМАНИЕ
Task: {38F4B345-EE76-4920-89DA-BDB87D5F7A85} - \wJQxgqfjXvzCP2 -> Нет файла <==== ВНИМАНИЕ
Task: {70B43FB9-3F31-4F3E-9411-6D4DDD01F906} - \siMMZcdEwyYfX2 -> Нет файла <==== ВНИМАНИЕ
Task: {FCFB3F36-EBC1-4A2F-A64B-53976F3DFC60} - \MfkIOpRPbFiGq2 -> Нет файла <==== ВНИМАНИЕ
2025-02-12 10:12 - 2025-02-12 11:27 - 000000000 ____D C:\Program Files (x86)\yrjlskSGjKNTeMguSRR
2025-02-12 10:12 - 2025-02-12 11:27 - 000000000 ____D C:\Program Files (x86)\hCLiIVWqIDZQC
2025-02-12 10:12 - 2025-02-12 10:12 - 000000000 ____D C:\Program Files (x86)\yXtghsiCqBUn
2025-02-12 10:05 - 2025-02-12 11:27 - 000000000 ____D C:\Program Files (x86)\MfPLROQWVXtU2
2025-02-12 10:05 - 2025-02-12 10:12 - 000003164 _____ C:\WINDOWS\system32\Tasks\VFBEfQDEFCXhm2
2025-02-12 10:05 - 2025-02-12 10:12 - 000000000 ____D C:\ProgramData\AVTrTYAWvKCKFRVB
2025-02-12 10:03 - 2025-02-12 11:27 - 000000000 ____D C:\Program Files (x86)\LHEcdvUjU
2025-02-12 10:50 - 2024-11-25 08:48 - 000000000 ____D C:\Program Files (x86)\QQoEVyarcjiU2
2025-02-12 10:50 - 2024-11-25 08:48 - 000000000 ____D C:\Program Files (x86)\KTmQRxqPCyWZC
2025-02-12 10:50 - 2024-11-25 08:48 - 000000000 ____D C:\Program Files (x86)\GZuWRGKeZuKwBIMSVZR
2025-02-12 10:50 - 2024-11-25 08:46 - 000000000 ____D C:\Program Files (x86)\lgITDMjKU
2025-02-12 10:50 - 2024-11-11 08:41 - 000000000 ____D C:\Program Files (x86)\NsgJHuMHfmSXWtToNWR
2025-02-12 10:50 - 2024-11-11 08:41 - 000000000 ____D C:\Program Files (x86)\MmmvvcBhVrTTC
2025-02-12 10:50 - 2024-11-11 08:41 - 000000000 ____D C:\Program Files (x86)\gbshicsDBrgU2
2025-02-12 10:50 - 2024-11-11 08:38 - 000000000 ____D C:\Program Files (x86)\kxcHjagjU
2025-02-12 10:50 - 2024-09-11 21:13 - 000000000 ____D C:\Program Files (x86)\FsvtdzRDU
2025-02-12 10:50 - 2024-07-14 15:26 - 000000000 ____D C:\Program Files (x86)\tPDpQnjMuEhGC
2025-02-12 10:50 - 2024-07-14 15:26 - 000000000 ____D C:\Program Files (x86)\SCPAALVRHDxZjMHrgiR
2025-02-12 10:50 - 2024-07-14 15:26 - 000000000 ____D C:\Program Files (x86)\OGvqLuLxfoTU2
2025-02-04 10:13 - 2024-11-25 08:48 - 000000000 ____D C:\ProgramData\NeJAvHErVfEkjsVB
2025-02-04 10:13 - 2024-11-11 08:41 - 000000000 ____D C:\ProgramData\XJaIkAfcIxMctrVB
2025-02-04 10:13 - 2024-09-11 21:16 - 000000000 ____D C:\ProgramData\CvbcDiTDDfSChPVB
2025-02-04 10:13 - 2024-09-11 21:16 - 000000000 ____D C:\Program Files (x86)\zldIvMnxdkSU2
2025-02-04 10:13 - 2024-09-11 21:16 - 000000000 ____D C:\Program Files (x86)\PAhnIaPpmhtNC
2025-02-04 10:13 - 2024-09-11 21:16 - 000000000 ____D C:\Program Files (x86)\bQsBhEqLxgAzAuzBAfR
2025-02-04 10:13 - 2024-07-14 15:24 - 000000000 ____D C:\ProgramData\ncptKlvwrpOWTQVB
2025-02-04 10:13 - 2024-07-14 15:22 - 000000000 ____D C:\Program Files (x86)\iLLtGyRPU
2024-02-08 01:10 C:\Program Files\RDP Wrapper
2024-02-08 01:10 C:\Program Files (x86)\360
2024-02-08 01:10 C:\ProgramData\RDP Wrapper
2024-02-08 01:10 C:\ProgramData\ReaItekHD
2024-02-08 01:10 C:\ProgramData\Setup
2024-02-08 01:10 C:\ProgramData\Windows Tasks Service
2024-02-08 01:10 C:\ProgramData\WindowsTask
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

добавьте новые логи FRST для контроля очистки.

[predreamer]

Старое сообщение больше не редактируется.

Addition.txt Fixlog.txt FRST.txt

[safety]

Уже совсем близко, новый скрипт для FRST.

 

Старые логи FRST удалите из папки с FRST.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
Task: {1E1CBA54-4694-4521-96CD-4A4BDB3DA282} - \VFBEfQDEFCXhm2 -> Нет файла <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: Default -> cdn
CHR Extension: (X-finder.pro) - C:\Users\verma\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-01-31]
CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: Profile 1 -> cdn
CHR Extension: (X-finder.pro) - C:\Users\verma\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-01-31]
CHR Extension: (Tâi-gí Helper) - C:\Users\verma\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pdpbfanllabhbledlnemlnmchfeheljp [2024-01-31]
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchKeyword: System Profile -> x-finder.pro
CHR DefaultSuggestURL: System Profile -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
CHR Extension: (X-finder.pro) - C:\Users\verma\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-01-31]
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

добавьте новые логи FRST для контроля очистки.

 

 

Изменено 13 февраля пользователем safety

[predreamer]

Видимо команды перезагрузки не было в скрипте, перезагрузил сам.

 

Fixlog.txt FRST.txt Addition.txt

Изменено 13 февраля пользователем predreamer

[safety]

новый скрипт для FRST без перезагрузки

 

Start::
C:\Users\verma\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
[2025-02-12] [UpdateUrl:hxxps://clients61.google.com/service/update2/crx] <==== ВНИМАНИЕ
C:\Users\verma\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem
[2025-02-12] [UpdateUrl:hxxps://clients81.google.com/service/update2/crx] <==== ВНИМАНИЕ
C:\Users\verma\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
End::

 

добавить Fixlog.txt

и новые логи FRST для контроля.

[predreamer]

-

 

Fixlog.txt FRST.txt Addition.txt

Изменено 14 февраля пользователем predreamer