[РЕШЕНО] Неудаляемый Chromium.page.malware

[Давид Ананикян]

Здравствуйте, поймал такую вот штучку, знаю что удалить её самому это та ещё проблема, так что решил сразу написать сюда, прошу помочь.



 CollectionLog-2025.12.13-13.07.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\google\chrome\updater.exe', '');
 QuarantineFile('C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe', '');
 DeleteSchedulerTask('C:\Windows\Task\acoKlyRfoKbEAnytz.job');
 DeleteSchedulerTask('cdlOy1');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('iTop BF Task (One-Time)');
 DeleteFile('C:\Program Files\google\chrome\updater.exe', '');
 DeleteFile('C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O22 - Task (.job): (Not scheduled) acoKlyRfoKbEAnytz.job - C:\Windows\Temp\dNXQKOTxtnaBMrLC\OzLYkkSwTQigOAN\KWDZFHn.exe (file missing)
O22 - Task (.job): (Not scheduled) fvrulaFMtJJcOZkjd.job -  (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WProxy (empty)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

 

Дополнительно:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[Давид Ананикян]

AV_block_remove_2025.12.13-13.46.logCollectionLog-2025.12.13-13.51.zip

[Sandor]

Продолжаем.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Давид Ананикян]

Addition.txtFRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {59136BB8-2449-4F94-8D24-10F93EF17E73} - System32\Tasks\BLACK FRIDAY Task (One-Time) => "C:\Program Files (x86)\IObit\Driver Booster\Pub\bf.exe"  -> C:\Program Files (x86)\IObit\Driver Booster\Pub\\/bf
  Task: {A34F1713-6A9E-4D75-BDC1-9606A307DADE} - System32\Tasks\XyZhf1 => C:\Program Files\Google\Chrome\Application\chrome.exe [3308696 2025-11-20] (Google LLC -> Google LLC)
  C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ddppjphjahihociddnfpkoeofkmlphkj
  C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dodnpoijjkmcmlhlelmggejhfocfjgfc
  C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
  C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ichhfdldoddmimpajkijflgkifkgeffg
  C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ndcileolkflehcjpmjnfbnaibdcgglog
  C:\Users\давид\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  C:\Users\давид\AppData\Local\Google\Chrome\User Data\Default\Extensions\dagaahffgcggpgdhcigmnnlobdlokibg
  C:\Users\давид\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
  C:\Users\давид\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\binaddejmpiokigdfgebopppjakkkifo
  AlternateDataStreams: C:\Windows\Temp:A96ECA9E [48]
  AlternateDataStreams: C:\Windows\Temp:DeviceUUID [64]
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TM.blf:D07D688A82 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TMContainer00000000000000000001.regtrans-ms:7A67C6BB37 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{954fa7d1-eb68-11ee-9c04-58112288f6d4}.TMContainer00000000000000000002.regtrans-ms:C50AC74EF3 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky.lnk:C47623E859 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wallpaper Engine 2.2.6.lnk:EB3F48D154 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZeroTier.lnk:5D5C9F9C68 [3442]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3256]
  AlternateDataStreams: C:\Users\давид\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\давид\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
  AlternateDataStreams: C:\Users\давид\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\давид\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
  AlternateDataStreams: C:\Users\давид\AppData\Local\Microsoft:ISBD [128]
  FirewallRules: [{637DF2C5-A476-4719-90FF-A9578E834091}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯䡜千㌰攮數 => Нет файла
  FirewallRules: [{1D488524-EDB1-4669-8FB6-CCDF0BACDA61}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{749348B2-3BD9-42FA-8887-583927632BAB}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{C8F9D30C-0575-407C-8C5B-E38CA2170B1F}] => (Allow) 㩃啜敳獲䅜灰慄慴剜慯業杮瑜捯㉜塚⸴硥e => Нет файла
  FirewallRules: [{B3410143-DD0D-404F-A758-4FE777112F97}] => (Allow) LPort=9993
  FirewallRules: [{0BC09D43-FA7C-4D2C-A595-A50CB20A39AF}] => (Allow) LPort=9993
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  endbatch:
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Давид Ананикян]

Fixlog.txt

 

 

[Sandor]

Как себя ведёт система сейчас?

Сделайте ещё раз полную проверку Cureit и сообщите результат.

[Давид Ананикян]

Cureit ничего не нашёл, видимо всё получилось

СПАСИБО!

 

[Sandor]

Отлично!

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Давид Ананикян]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Kaspersky v.21.17.7.539 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20493 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA App 11.0.4.526 v.11.0.4.526 Внимание! Скачать обновления
Microsoft Visual C++ v14 Redistributable (x86) - 14.50.35710 v.14.50.35710.0 Внимание! Скачать обновления
Microsoft Visual C++ v14 Redistributable (x64) - 14.50.35710 v.14.50.35710.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.216.1104.0002 Внимание! Скачать обновления
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Discord v.1.0.9168 Внимание! Скачать обновления
Windscribe v.2.15.8 Внимание! Скачать обновления
Cloudflare WARP v.25.4.943.0 Внимание! Скачать обновления
qBittorrent v.5.0.3 Внимание! Скачать обновления
Java 8 Update 421 (64-bit) v.8.0.4210.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
AIMP v.5.11.2436 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
VLC media player v.3.0.20 Внимание! Скачать обновления
Yandex v.25.10.2.1176 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.143.0.7499.42 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VideoAdsBlocker v.2.0.0.3154 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".