Andrey1618 0 Опубликовано 7 февраля, 2022 Share Опубликовано 7 февраля, 2022 Подцепил на ноутбук вирусы указаные в заголовке после неосторожно скачивания репака. Находятся они, как я понял, по этому пути: C:\ProgramData\Lxalmv\Ocopgt\F624D4C9. Папку эту я не раз удалял, но она самовостанавливается. Dr.Web ничего не нашёл, другой антивирус указал, что проблема в этом файле [manifest.json], который лежит в папке. Эта дрянь устанавливает в мой браузер расширение, которое перекидывает меня при использовании поисковой системы на [m.nearbyme.io], а ещё когда я сёрфил интернет или смотрел ютуб, загружало на мой канал какие-то видео из-за чего мне снесни его + тормозит браузер при просмотре видео и фильмов. В этом виноват [d.abcweathercast.xyz], как мне кажеться. Скидывал настройки браузера и переустанавливал его несколько раз с помощью Uninstall Tool, ничего не помогло. Расширение называеться uRunFlow. Когда открыл манифест с помощью блокнота, то увидел там следующее: Спойлер { "name": "uRunFlow", "version": "5.52", "description": "Run Flow", "permissions": [ "storage", "webRequest", "webRequestBlocking", "http://*/", "https://*/", "management", "notifications" ], "background": { "scripts": [ "background.js" ] }, "browser_action": { "default_icon": "icon128.png" }, "manifest_version": 2, "minimum_chrome_version": "35" } Cамо расширение: Доп.инфа: Папка "Lxalmv" скрытая, когда она самовостанавливаеться автоматом все скрытые папки прячутся. Название второй папки "Ocopgt" после каждого удаления меняется. Сейчас такой путь: C:\ProgramData\Lxalmv\Vhvzj\F624D4C9. Ссылка на сообщение Поделиться на другие сайты
Andrey1618 0 Опубликовано 7 февраля, 2022 Автор Share Опубликовано 7 февраля, 2022 Ещё кстати начались какаие-то проблемы с гугл сервисами, например на gmail не пришло письмо с подтверждением регистрации аккаунта, пришлось через маилру регать. Ниже логи 🠗 CollectionLog-2022.02.07-21.48.zip Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 8 февраля, 2022 Share Опубликовано 8 февраля, 2022 Здравствуйте, Знакома Вам? O2 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer64.dll O2-32 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer32.dll O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\TimeB330J - C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /U C:\Users\User\AppData\Local\ProgressComponents\WxiteOffnane\xilinces_Snmwcl.dll /nologo (Microsoft) HiJackThis (из каталога autologger) профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O22 - Task (.job): (Not scheduled) bHcBXSPNTkwQGwMoLC.job - C:\Users\User\AppData\Local\Temp\iabkNhVWFvUhunYNR\PRuintgOJzQlssx\maTPWuY.exe (file missing) O22 - Task: bHcBXSPNTkwQGwMoLC - C:\Users\User\AppData\Local\Temp\iabkNhVWFvUhunYNR\PRuintgOJzQlssx\maTPWuY.exe xK /site_id 525403 /S (file missing) Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Andrey1618 0 Опубликовано 8 февраля, 2022 Автор Share Опубликовано 8 февраля, 2022 1. Здравствуйте, нет. 5 часов назад, SQ сказал: Здравствуйте, Знакома Вам? O2 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer64.dll O2-32 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\OldNewExplorer32.dll O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\TimeB330J - C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe /U C:\Users\User\AppData\Local\ProgressComponents\WxiteOffnane\xilinces_Snmwcl.dll /nologo (Microsoft) 2. Логи: AdwCleaner[S06].txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 февраля, 2022 Share Опубликовано 8 февраля, 2022 (изменено) Отчёты AdwCleaner[C01].txt, AdwCleaner[C02].txt и AdwCleaner[C04].txt покажите. Далее: Файл CheckBrowserLnk.log из папки...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 8 февраля, 2022 пользователем Sandor Ссылка на сообщение Поделиться на другие сайты
Andrey1618 0 Опубликовано 8 февраля, 2022 Автор Share Опубликовано 8 февраля, 2022 (изменено) 1. AdwCleaner[C01].txt AdwCleaner[C02].txt AdwCleaner[C04].txt 2. ClearLNK-2022.02.08_12.51.28.log 3. FRST.txt Addition.txt Изменено 8 февраля, 2022 пользователем Andrey1618 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 февраля, 2022 Share Опубликовано 8 февраля, 2022 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-2881341823-803141422-2322309846-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ Folder: C:\ProgramData\Lxalmv\Vhvzj ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions StartBatch: del /s /q C:\Windows\SoftwareDistribution\download\*.* del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" EndBatch: EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Andrey1618 0 Опубликовано 8 февраля, 2022 Автор Share Опубликовано 8 февраля, 2022 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 февраля, 2022 Share Опубликовано 8 февраля, 2022 Ещё один скрипт, пожалуйста (достаточно его один раз выполнить, повторять не нужно): Отключите до перезагрузки антивирус. Выделите следующий код: Start:: C:\ProgramData\Lxalmv\Vhvzj DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\User\AppData\Local DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|rundll32.exe Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Andrey1618 0 Опубликовано 8 февраля, 2022 Автор Share Опубликовано 8 февраля, 2022 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 8 февраля, 2022 Share Опубликовано 8 февраля, 2022 Это же скрипт выполните ещё раз, только из безопасного режима. Новый Fixlog.txt покажите. Ссылка на сообщение Поделиться на другие сайты
Andrey1618 0 Опубликовано 8 февраля, 2022 Автор Share Опубликовано 8 февраля, 2022 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 февраля, 2022 Share Опубликовано 9 февраля, 2022 Что сейчас с проблемой? Ссылка на сообщение Поделиться на другие сайты
Andrey1618 0 Опубликовано 9 февраля, 2022 Автор Share Опубликовано 9 февраля, 2022 (изменено) Расширение на месте, папка самовостановилась по этому пути C:\ProgramData\Lxalmv\Kswydb\F624D4C9. P.S Может где-то в другом месте сидит, просто шуму наводит там. Изменено 9 февраля, 2022 пользователем Andrey1618 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 9 февраля, 2022 Share Опубликовано 9 февраля, 2022 Удалите старые и соберите новые логи FRST.txt и Addition.txt Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения