[РЕШЕНО] Вирус перенаправляет все ссылки браузера на https://uzoguy.dieannews.xyz

[ArCtic]

Здравствуйте, какой-то вирусок перенаправляет все ссылки в браузере на адрес https://uzoguy.dieannews.xyz

Антивирусники Нод 32 и Kaspersky Virus Removal Tool; ничего не нашли.

CollectionLog-2022.04.04-17.54.zip

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - DHCP DNS 1: 5.187.7.249
O17 - DHCP DNS 2: 45.129.97.29

 

Перетащите лог Check_Browsers_LNK.log из папки C:\Users\ECS\Downloads\AutoLogger\AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Через Панель управления - Удаление программ удалите устаревшие

Цитата

 

Adobe Flash Player 32 ActiveX

Adobe Flash Player 32 NPAPI

Adobe Flash Player 32 PPAPI

 

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

Проблема наблюдается в любом браузере или в определенном?

[ArCtic]

В опере - точно.

ClearLNK-2022.04.05_10.50.19.log CollectionLog-2022.04.05-11.00.zip

[Sandor]

Продолжаем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[ArCtic]

готово

AdwCleaner[C00].txt AdwCleaner[S00].txt AdwCleaner[S01].txt AdwCleaner[S02].txt

[Sandor]

Спасибо, далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ArCtic]

готово

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: H - H:\SISetup.exe
  HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: J - J:\SISetup.exe
  HKU\S-1-5-21-3406002263-558202271-1107361342-1000\...\MountPoints2: {5795c500-51ba-11e8-a984-001921314667} - F:\AutoRun.exe
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Tcpip\Parameters: [DhcpNameServer] 5.187.7.249 45.129.97.29
  Tcpip\..\Interfaces\{5D0813B9-EC49-468F-806B-AFA5D9C8B056}: [DhcpNameServer] 5.187.7.249 45.129.97.29
  CHR HKLM\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh]
  CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne]
  CHR HKLM\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla]
  CHR HKLM\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec]
  CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [147]
  Toolbar: HKU\S-1-5-21-3406002263-558202271-1107361342-1000 -> Нет имени - {4853DF44-7D6B-48E9-9258-D800EEE54AF6} -  Нет файла
  cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Через Панель управления - Удаление программ деинсталлируйте

Цитата

Malwarebytes Activation

Старайтесь избегать всяких "репаков", а от "Кролика" и подавно.

[ArCtic]

3 часа назад, Sandor сказал:

Старайтесь избегать всяких "репаков", а от "Кролика" и подавно.

а что не так с Кроликом?

 

Fixlog.txt

[Sandor]

Неоднократно замечены подобные репаки у тех, кто обращается за помощью лечения от вредоносных программ.

 

Что сейчас с проблемой? Если сохраняется, обратите внимание в каком именно браузере?

[ArCtic]

бес ушел! Спасибо!

[Sandor]

Отлично!

 

В завершение и на будущее:

 

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[ArCtic]

Комп забрали. Спасибо.

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".