16 ответов в этой теме

[Кубовая]

Доброго всем времени суток, дамы и господа, всем привет из солнечной Сибири!

Недавно на компьютер попал ряд вирусов и троянов. CureIt'ом удалось убрать всё, кроме одного.

Не излечивается CHROMIUM:PAGE.MALWARE.URL, после любого излечения появляется повторно. Единственное, как удалось добиться отсутствия появления ошибки повторно, это удалить из папки C:\Users\usernamwe\AppData\Local\Google\Chrome\User Data\Default файл Secure Preferences, но тогда отсутствует синхронизация в Chrome (что логично и что, наверное, не совсем выход  ).

Логи прилагаю, надеюсь, что тема оформлена по всем правилам.

Благодарю за отклик!

https://disk.yandex.ru/d/wVmM8SCrKVU0IQ

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Alexander007]

Добрый день , вижу в логах , кое остались маленький след - это в профиле , прописан адварь -CHROMIUM:PAGE.MALWARE.URL - перенаправляется на другую ссылку  , если интересует чистка , то выполните доп.лог :

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Сообщение было изменено Alexander007: 29 Июль 2024 - 15:19

[Кубовая]

Александр, добрый вечер! Спасибо за совет, завтра выполню и обязательно закину результат.

[Кубовая]

Вот логи FRST.

Прикрепленные файлы:

•  Addition.txt   83,07К   4 Скачано раз
•  FRST.txt   42,88К   4 Скачано раз

[Alexander007]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать

 

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
File: C:\Windows\System32\NhNotifSys.exe
Virusscan: C:\Windows\System32\NhNotifSys.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
File: C:\Program Files (x86)\ZET GAMING\Keyboard\ZET GAMING Keyboard\ZetGamingKeyboard.exe
Virusscan: C:\Program Files (x86)\ZET GAMING\Keyboard\ZET GAMING Keyboard\ZetGamingKeyboard.exe
Edge Extension: (X-finder.pro) - C:\Users\AliceRivn\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-07-27]
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
Edge HomeButtonPage: HKU\S-1-5-21-2883247108-1322242619-4155126554-1001 -> hxxps://www.ya.ru/?win=656&clid=2832598-380
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxp://fotobus.me/"
CHR Extension: (Нет имени) - C:\Users\AliceRivn\AppData\Local\Google\Chrome\User Data\Default\Extensions\coepkhjmacbjpfahpdcjkcoihohiocnb [2023-03-08]
CHR Extension: (X-finder.pro) - C:\Users\AliceRivn\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-07-27]
CHR Extension: (X-finder.pro) - C:\Users\AliceRivn\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2024-07-27]
CHR HKU\S-1-5-21-2883247108-1322242619-4155126554-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [cnocnjflflmbpldpcpiahlbjojpfcioc]
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
File: C:\WINDOWS\temp\cpuz155\cpuz155_x64.sys
Virusscan: C:\WINDOWS\temp\cpuz155\cpuz155_x64.sys
IE trusted site: HKU\S-1-5-21-2883247108-1322242619-4155126554-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-2883247108-1322242619-4155126554-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{CF677D98-9FA0-4F7C-BBD3-5C6272781BD7}] => (Allow) 㩃啜敳獲䅜楬散楒湶䅜灰慄慴剜慯業杮瑜捯䅜呴䩭攮數 => Нет файла
FirewallRules: [{0E06ED20-2879-4E62-9545-57CC61F33330}] => (Allow) 㩃啜敳獲䅜楬散楒湶䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{C0EDA966-850E-4092-8204-FF719C13AAF4}] => (Allow) 㩃啜敳獲䅜楬散楒湶䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{50A923C4-8AAC-426B-94E1-AC258AB42074}] => (Allow) 㩃啜敳獲䅜楬散楒湶䅜灰慄慴剜慯業杮瑜捯䡜偒⹪硥e => Нет файла
FirewallRules: [{D1F37690-E53D-411D-8B0E-63CFA8335050}] => (Allow) C:\Users\AliceRivn\AppData\Local\Programs\Opera\opera.exe => Нет файла
FirewallRules: [{349B8C8D-C487-4CFA-B177-41CE8277955F}] => (Allow) LPort=32683
FirewallRules: [{9712DF2F-E69E-469F-8A37-5F9BB09041B8}] => (Allow) LPort=33683
FirewallRules: [{2F21CA38-0B58-4ABC-8689-0643EDC6D53A}] => (Allow) LPort=26822
EmptyTemp:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

Сообщение было изменено Alexander007: 30 Июль 2024 - 15:24

[Alexander007]

Virusscan - сервис проверки наличии угроз , файл не будет перемещен , а дадут конкретный ссылку на анализ .  Остальное Extension - расширение будет немедленно удален .

[Кубовая]

Всё выполнено, спасибо! Вот фикслог.

Прикрепленные файлы:

•  Fixlog.txt   10,49К   4 Скачано раз

Сообщение было изменено Кубовая: 30 Июль 2024 - 15:33

[Alexander007]

Ну, как система? 

[Alexander007]

У, меня такая просьба к вам , выполните пожалуйста :

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать

Start::
RestoreQuarantine: C:\Program Files (x86)\ZET GAMING\Keyboard\ZET GAMING Keyboard\ZetGamingKeyboard.exe
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Кубовая]

Сейчас Dr.Web CureIt после сканирования не нашёл никаких угроз.

Фикслог прилагаю, перезагрузки компьютера не было, если это важно/интересно.

Прикрепленные файлы:

•  Fixlog.txt   720байт   2 Скачано раз

[Alexander007]

Попробуем еще раз , выполните, не спеши с скриптом:

 

 

Start::

RestoreQuarantine: C:\Program Files (x86)\ZET GAMING\Keyboard\ZET GAMING Keyboard
RestoreQuarantine: C:\Program Files (x86)\ZET GAMING\Keyboard\ZET GAMING Keyboard\ZetGamingKeyboard.exe.xBAD

End::

Сообщение было изменено Alexander007: 30 Июль 2024 - 15:51

[Кубовая]

Спасибо за супер оперативные ответы! 

Выполнено.

Прикрепленные файлы:

•  Fixlog.txt   976байт   3 Скачано раз

[Alexander007]

Кубовая

 

Cкрипт, восстановлен , что у тебя с ситемой?  Надеюсь что все в порядке?

[Кубовая]

Dr.Web CureIt после очередного сканирования снова не нашёл никаких угроз, супер, спасибо!

Единственный вопрос остался: ещё после первого выполнения большого скрипта в FRST оказалась выключенной синхронизация аккаунта в Chrome. Её можно включить теперь? 

[Alexander007]

Все от зависит Вас ...   Попробуйте , понаблюдайте .

Сообщение было изменено Alexander007: 30 Июль 2024 - 16:12

[Кубовая]

Синхронизация была выполнена, предварительно произведён расширенный сброс настроек Chrome. После перезагрузки полёт отличный, CureIt и adwcleaner ничего не находят. Спасибо большое за помощь, всех благ! Пару дней ещё понаблюдаю.