Перейти к содержанию
Правила раздела

Неудаляемый Chromium.page.malware

Давид Ананикян

Автор Давид Ананикян
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Давид Ананикян

Давид Ананикян

Опубликовано
Опубликовано

Здравствуйте, поймал такую вот штучку, знаю что удалить её самому это та ещё проблема, так что решил сразу написать сюда, прошу помочь.



image.png?ex=693e89a6&is=693d3826&hm=6f637f041b008c88e00c4989936d21b5c2af9e8036ec4a0ab98e515ab4a14be8&=&format=webp&quality=lossless CollectionLog-2025.12.13-13.07.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\google\chrome\updater.exe', '');
 QuarantineFile('C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe', '');
 DeleteSchedulerTask('C:\Windows\Task\acoKlyRfoKbEAnytz.job');
 DeleteSchedulerTask('cdlOy1');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('iTop BF Task (One-Time)');
 DeleteFile('C:\Program Files\google\chrome\updater.exe', '');
 DeleteFile('C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O22 - Task (.job): (Not scheduled) acoKlyRfoKbEAnytz.job - C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe (file missing)
O22 - Task (.job): (Not scheduled) fvrulaFMtJJcOZkjd.job -  (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WProxy (empty)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

 

Дополнительно:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Sandor

Sandor

Опубликовано
Опубликовано

Продолжаем.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {59136BB8-2449-4F94-8D24-10F93EF17E73} - System32\Tasks\BLACK FRIDAY Task (One-Time) => "C:\Program Files (x86)\IObit\Driver Booster\Pub\bf.exe"  -> C:\Program Files (x86)\IObit\Driver Booster\Pub\\/bf
Task: {A34F1713-6A9E-4D75-BDC1-9606A307DADE} - System32\Tasks\XyZhf1 => C:\Program Files\Google\Chrome\Application\chrome.exe [3308696 2025-11-20] (Google LLC -> Google LLC)
C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ddppjphjahihociddnfpkoeofkmlphkj
C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dodnpoijjkmcmlhlelmggejhfocfjgfc
C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ichhfdldoddmimpajkijflgkifkgeffg
C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ndcileolkflehcjpmjnfbnaibdcgglog
C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\давид\AppData\Local\Google\Chrome\User Data\Default\Extensions\dagaahffgcggpgdhcigmnnlobdlokibg
C:\Users\давид\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
C:\Users\давид\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\binaddejmpiokigdfgebopppjakkkifo
AlternateDataStreams: C:\Windows\Temp:A96ECA9E [48]
AlternateDataStreams: C:\Windows\Temp:DeviceUUID [64]
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TM.blf:D07D688A82 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TMContainer00000000000000000001.regtrans-ms:7A67C6BB37 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TMContainer00000000000000000002.regtrans-ms:C50AC74EF3 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wallpaper Engine 2.2.6.lnk:EB3F48D154 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZeroTier.lnk:5D5C9F9C68 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3256]
AlternateDataStreams: C:\Users\давид\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\давид\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
AlternateDataStreams: C:\Users\давид\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\давид\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
AlternateDataStreams: C:\Users\давид\AppData\Local\Microsoft:ISBD [128]
FirewallRules: [{637DF2C5-A476-4719-90FF-A9578E834091}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯䡜千㌰攮數 => Нет файла
FirewallRules: [{1D488524-EDB1-4669-8FB6-CCDF0BACDA61}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{749348B2-3BD9-42FA-8887-583927632BAB}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{C8F9D30C-0575-407C-8C5B-E38CA2170B1F}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯㉜塚⸴硥e => Нет файла
FirewallRules: [{B3410143-DD0D-404F-A758-4FE777112F97}] => (Allow) LPort=9993
FirewallRules: [{0BC09D43-FA7C-4D2C-A595-A50CB20A39AF}] => (Allow) LPort=9993
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
endbatch:
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Как себя ведёт система сейчас?

Сделайте ещё раз полную проверку Cureit и сообщите результат.

Давид Ананикян

Давид Ананикян

Опубликовано
  • Автор
Опубликовано

Cureit ничего не нашёл, видимо всё получилось

СПАСИБО!

 

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Suga
      [РЕШЕНО] NET:MALWARE.URL найден процесс, но не удален
      Автор Suga
      Решил проверить компьютер на вирусы тк какой-то процесс после запуска игр нагружал видеокарту в 100-90%. В диспетчере задач нагружал "хост окна консоли", теперь пропадает после запуска диспетчера. Как удалить "NET:MALWARE.URL"?

    • Alibasov
      chromium:page.malware.url
      Автор Alibasov
      CureIt! обнаружил после установки ПО chromium:page.malware.url, ADWCleaner перемещает в карантин, удаляет, перезагрузка не помогает - после удаления показывает, что всё чисто, затем chromium:page.malware.url возвращается. Прикладываю логи. Спасибо
      FRST.txt Addition.txt AdwCleaner[C06].txt
    • Arkhip
      Chromium.page
      Автор Arkhip
      Добрый день! Столкнулся с проблемой - перестал работать Я. Браузер и Я.Музыка. При открытии браузера выскакивает ошибка и невозможно открыть настройки или новую вкладку. Решил проветить систему через dr.web curiet, был найден Chromiumpage
      CollectionLog-2025.03.07-10.50.zip
    • predreamer
      Подгружаются вирусы после удаления, Dr. Web не лечит
      Автор predreamer
      Зависли вирусы на ноуте, иногда по нескольку раз открывается cmd, после чего яндекс браузер закрывается и в истории простыня всяких брендовых сайтов, на которых не был, и ещё это расширение T-cashback вечно возвращается. Dr. Web находит chromium:page.malware.url, трояны стартеры и прочее, лечит, и они сразу же возвращаются.
      CollectionLog-2025.02.10-11.27.zip
    • Mc_Chubchik
      [РЕШЕНО] Не удаляется вирус "NET:MALWARE.URL"
      Автор Mc_Chubchik
      Добрый день, проверив комп Dr. Wev Cureit, выявил вирусы, один из них  NET:MALWARE.URL, который он не смог удалить. Прошу помочь в его удалении.
      HOME-ПК_2025-02-05_11-40-15_v4.99.8v x86.7z
×
×
  • Создать...