Перейти к содержанию

[РЕШЕНО] Проблема с [manifest.json] и [d.abcweathercast.xyz]


Рекомендуемые сообщения

Подцепил на ноутбук вирусы указаные в заголовке после неосторожно скачивания репака. Находятся они, как я понял, по этому пути: C:\ProgramData\Lxalmv\Ocopgt\F624D4C9. Папку эту я не раз удалял, но она самовостанавливается. Dr.Web ничего не нашёл, другой антивирус указал, что проблема в этом файле [manifest.json], который лежит в папке. Эта дрянь устанавливает в мой браузер расширение, которое перекидывает меня при использовании поисковой системы на [m.nearbyme.io], а ещё когда я сёрфил интернет или смотрел ютуб, загружало на мой канал какие-то видео из-за чего мне снесни его + тормозит браузер при просмотре видео и фильмов. В этом виноват [d.abcweathercast.xyz], как мне кажеться. Скидывал настройки браузера и переустанавливал его несколько раз с помощью Uninstall Tool, ничего не помогло. Расширение называеться uRunFlow. Когда открыл манифест с помощью блокнота, то увидел там следующее: 

 

Спойлер

{
  "name": "uRunFlow",
  "version": "5.52",
  "description": "Run Flow",
  "permissions": [
    "storage",
    "webRequest",
    "webRequestBlocking",
    "http://*/",
    "https://*/",
    "management",
    "notifications"
  ],
  "background": {
    "scripts": [
      "background.js"
    ]
  },
  "browser_action": {
    "default_icon": "icon128.png"
  },
  "manifest_version": 2,
  "minimum_chrome_version": "35"
}

 

Cамо расширение: 

QgJv0.png

 

Доп.инфа:

Папка "Lxalmv" скрытая, когда она самовостанавливаеться автоматом все скрытые папки прячутся.

Название второй папки "Ocopgt" после каждого удаления меняется.

Сейчас такой путь: C:\ProgramData\Lxalmv\Vhvzj\F624D4C9.

QgKVj.png

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 36
  • Created
  • Последний ответ

Top Posters In This Topic

  • Andrey1618

    19

  • Sandor

    17

  • SQ

    1

Ещё кстати начались какаие-то проблемы с гугл сервисами, например на gmail не пришло письмо с подтверждением регистрации аккаунта, пришлось через маилру регать. Ниже логи  🠗

CollectionLog-2022.02.07-21.48.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Знакома Вам?

O2 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer64.dll
O2-32 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer32.dll
O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\TimeB330J - C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /U C:\Users\User\AppData\Local\ProgressComponents\WxiteOffnane\xilinces_Snmwcl.dll /nologo (Microsoft)



HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task (.job): (Not scheduled) bHcBXSPNTkwQGwMoLC.job - C:\Users\User\AppData\Local\Temp\iabkNhVWFvUhunYNR\PRuintgOJzQlssx\maTPWuY.exe (file missing)
O22 - Task: bHcBXSPNTkwQGwMoLC - C:\Users\User\AppData\Local\Temp\iabkNhVWFvUhunYNR\PRuintgOJzQlssx\maTPWuY.exe xK /site_id 525403 /S (file missing)

 

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты

1. Здравствуйте, нет.

5 часов назад, SQ сказал:

Здравствуйте,

Знакома Вам?


O2 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer64.dll
O2-32 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer32.dll
O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\TimeB330J - C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /U C:\Users\User\AppData\Local\ProgressComponents\WxiteOffnane\xilinces_Snmwcl.dll /nologo (Microsoft)

 

 

2. Логи: AdwCleaner[S06].txt

Ссылка на сообщение
Поделиться на другие сайты

Отчёты AdwCleaner[C01].txt, AdwCleaner[C02].txt и AdwCleaner[C04].txt покажите.

 

Далее:

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2881341823-803141422-2322309846-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    Folder: C:\ProgramData\Lxalmv\Vhvzj
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    StartBatch:
      del /s /q C:\Windows\SoftwareDistribution\download\*.*
      del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    EndBatch:
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Ещё один скрипт, пожалуйста (достаточно его один раз выполнить, повторять не нужно):

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    C:\ProgramData\Lxalmv\Vhvzj
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|rundll32.exe
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Расширение на месте, папка самовостановилась по этому пути C:\ProgramData\Lxalmv\Kswydb\F624D4C9. 

 

P.S Может где-то в другом месте сидит, просто шуму наводит там.

 

 

Изменено пользователем Andrey1618
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...