Решена Adwcleaner находит adware.startpage - возвращается через 12 часов

  • Автор темы Автор темы piekeke
  • Дата начала Дата начала

piekeke

Новый пользователь
Сообщения
47
Реакции
4
adwcleaner каждый раз находит adware.startpage спустя 12 часов после удаления все возвращается + есть подозрение на какой то бэкдор прикрепляю логи
 

Вложения

adwcleaner - тоже нужно лог прикрепить.
 
лог уже удалил и отчистил карантин но остался скриншот
11111.webp
смотрел через everything папки\файла с таким именим не находило
 
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"       -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"  -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"     -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"         -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"   -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"       -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"    -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"     -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"           -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\asdasdasd\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"       -> ["C:\WINDOWS\system32\mblctr.exe"]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\AutorunsDisabled: (no name) -  - (no file)
O22 - Tasks: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\WINDOWS\system32\MusNotification.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\NetTrace\GatherNetworkInfo - C:\WINDOWS\system32\gatherNetworkInfo.vbs (file missing)


Ваши настройки?
O4 - Startup Global: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled (folder)
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = msedge.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"       -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"  -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"     -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"         -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"   -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"       -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"    -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"     -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\asdasdasd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"           -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\asdasdasd\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"       -> ["C:\WINDOWS\system32\mblctr.exe"]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\AutorunsDisabled: (no name) -  - (no file)
O22 - Tasks: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\WINDOWS\system32\MusNotification.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Location\Notifications - C:\WINDOWS\System32\LocationNotificationWindows.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\NetTrace\GatherNetworkInfo - C:\WINDOWS\system32\gatherNetworkInfo.vbs (file missing)


Ваши настройки?
O4 - Startup Global: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled (folder)
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = msedge.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
настройки с отключением запуска msedge мои лог frst сейчас прикреплю
 
ну что там? мне страшно уже ничего серьезного нету?
 
уже с телефона, завтра посмотрим, пока подозрение на адварь.
 
уже с телефона, завтра посмотрим, пока подозрение на адварь.
окей самое интересно что каждый раз это на разных версиях виндовсах было и каждый раз адварь возвращался спустя 12часов+- но подозрение на адварь(всплывающия реклама и т.д) нету
 
Прочел о проблемном расширении, вы ScriptGate сами не ставили? Когда появится детект, попробуйте удалить дополнение через chrome://extensions/, дабы не тянулось при синхронизации с облаком.
 
ну так нужно было дождаться когда дополнение подтянется и будет видно ADW. Ладно, тогда
 
ну так нужно было дождаться когда дополнение подтянется и будет видно ADW. Ладно, тогда
а по логам подозрение на бэкдор есть или нету? или на какую нить другую малварь
 
Не видно.
 
ну так нужно было дождаться когда дополнение подтянется и будет видно ADW. Ладно, тогда
это какаято невидимая угроза я незнюа в everything даже не находит
 
Некое рекламное расширение подтягивается из вашего Гугл аккаунта.
После очистки должно пропасть. Пробовали сделать сброс?
 
Некое рекламное расширение подтягивается из вашего Гугл аккаунта.
После очистки должно пропасть. Пробовали сделать сброс?
сброс еще не пробовал сдеалть но признаков "рекламы" и самого расширения нигде нету даже в папках
 
Назад
Сверху Снизу