Решена Chrome "Этот браузер управляется администратором" + "утилита сравнения файлов dos 5"

Статус
В этой теме нельзя размещать новые ответы.

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
Здравствуйте, поймал вирус. В хроме пишет "Этот браузер управляется администратором", в диспетчере файл "утилита сравнения файлов dos 5" грузит систему на 60%
Удалял файлы policy в regedit у chrome. Помогло, но потом опять вернулся.
Лог (пароль: 2U3Ann0P0q): Pastebin.com - Locked Paste
Лог (AVBlock | пароль: Y316urj7G1 ): Pastebin.com - Locked Paste
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Здравствуйте!

А почему не прикрепляете логи к сообщению прямо здесь?
Как сейчас - их может скачать и увидеть любой посетитель. А вложение - только консультант или модератор.
 
  • Like
Реакции: akok

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Не нужно загружать сам Автологер. Нужно результат его работы в виде архива с именем CollectionLog-дата-время.zip
Он обычно не превышает 100-150 килобайт
 

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
сглупил
 

Вложения

  • CollectionLog-2022.08.04-13.33.zip
    99.2 KB · Просмотры: 4

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Деинсталлируйте через Панель управления - Удаление программ нежелательную

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
готово
Bonjour удалил
 

Вложения

  • log.zip
    20.6 KB · Просмотры: 5

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {92A0B6B5-7C74-4FAB-9A16-F910F3463149} - System32\Tasks\portraits-processed => C:\ProgramData\pleasure-printers\bin.exe /H (Нет файла)
    Task: {0126611E-9EDD-4842-A448-FAFB2E90A50A} - System32\Tasks\AdLock Update Task-S-1-5-21-2355628199-291096595-1628405781-1001 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\yrert\AppData\Local\Programs\AdLock\d0bd4f74df.msi" /quiet CHROME=1
    CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
    C:\Users\yrert\AppData\Local\Google\Chrome\User Data\Default\Extensions\aemffjkmgcepimloclpkecifcnipnodh
    C:\Users\yrert\AppData\Local\Google\Chrome\User Data\Default\Extensions\fgllepnoeikbabgajffpknmkfilbpacf
    C:\Users\yrert\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKLM-x32\...\Chrome\Extension: [aemffjkmgcepimloclpkecifcnipnodh]
    2022-07-22 00:54 - 2022-07-22 01:07 - 000000000 ____D C:\ProgramData\golZUoVGMctFGlVB
    2022-07-22 00:54 - 2022-07-22 01:07 - 000000000 ____D C:\Program Files (x86)\XZjiAjfBLerU2
    2022-07-22 00:54 - 2022-07-22 01:07 - 000000000 ____D C:\Program Files (x86)\wSnpUbsUwAjuC
    2022-07-22 00:54 - 2022-07-22 01:07 - 000000000 ____D C:\Program Files (x86)\mpKJrlfcU
    2022-07-22 00:54 - 2022-07-22 01:07 - 000000000 ____D C:\Program Files (x86)\kNlYhTrGwceWUkCEYUR
    2022-07-22 00:54 - 2022-07-22 00:54 - 000000000 ____D C:\Program Files (x86)\BsLQIILQPTUn
    2022-07-22 00:52 - 2022-07-22 00:52 - 000004138 _____ C:\WINDOWS\system32\Tasks\AdLock Update Task-S-1-5-21-2355628199-291096595-1628405781-1001
    2022-07-22 00:52 - 2022-07-22 00:52 - 000003454 _____ C:\WINDOWS\system32\Tasks\portraits-processed
    AdLock Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-2355628199-291096595-1628405781-1001\...\{e62d08cb-5b1c-4d13-af0b-772cbaaf0c8c}) (Version: 1.0.0.0 - AdLock) Hidden
    tour blame 1.2.6.86 (HKLM-x32\...\{34fd147f-ae3a-4cef-a348-cdc3b42259c4}) (Version: 1.2.6.86 - Lebrun SARL) Hidden
    FirewallRules: [{4EF1D308-4FC5-4313-A317-19E400E6A499}] => (Allow) 㩃啜敳獲祜敲瑲䅜灰慄慴剜慯業杮瑜捯剜敔䩔攮數 => Нет файла
    FirewallRules: [{434B3948-2DF4-4BCE-87F5-74F5A503A72B}] => (Allow) 㩃啜敳獲祜敲瑲䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
    FirewallRules: [{B17EFB47-7634-4299-80EB-F6C317429A3E}] => (Allow) 㩃啜敳獲祜敲瑲䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
    FirewallRules: [{DFB1563D-2E66-4B1F-B811-EBA9A52CC2E5}] => (Allow) 㩃啜敳獲祜敲瑲䅜灰慄慴剜慯業杮瑜捯瑜䵥⹃硥e => Нет файла
    StartBatch:
      ECHO Y|CHKDSK C: /F
      pushd c:\windows\system32
      bcdedit.exe /set {default} recoveryenabled yes
      net stop bits
      net stop cryptSvc
      net stop wuauserv
      net stop msiserver
      del /s /q C:\Windows\SoftwareDistribution\download\*.*
      del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
      net start bfe
      net start bits
      net start cryptSvc
      net start eventsystem
      net start msiserver
      net start rpcss
      net start sdrsvc
      net start trustedinstaller
      net start vss
      net start winmgmt
      net start wuauserv
    EndBatch:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
готово
 

Вложения

  • Fixlog.txt
    119.1 KB · Просмотры: 4

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
В перечне установленных программ появятся скрытые ранее
AdLock Privacy Ad Blocker 1.0.0.0
tour blame 1.2.6.86
Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

Сообщите результат и поведение браузера.
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
Удалил

AdLock Privacy Ad Blocker 1.0.0.0
tour blame 1.2.6.86

через Geek Uninstaller

в браузере ещё висит "Управляется вашей организацией"

chrome_NyYuFjrbLj.png
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Сделайте сброс настроек браузера Хром.
Перезагрузите компьютер и проверьте.
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Отлично.

Ещё такой лог давайте посмотрим:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
лог
 

Вложения

  • AdwCleaner[S10].txt
    2.5 KB · Просмотры: 5

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Найденное удалите (поместите в карантин).

Если проблема решена, завершающие шаги:

1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
поместил в карантин обе угрозы
в карантине они не отображаются
после повторной проверки снова появляются

лог
 

Вложения

  • SecurityCheck.txt
    6.9 KB · Просмотры: 5

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
10,131
Реакции
2,887
Если ещё не удалили, соберите новые логи FRST.txt и Addition.txt. (Если удалили утилиту, скачайте заново).
 

hhhwwdd

Новый пользователь
Сообщения
10
Реакции
0
логи
 

Вложения

  • FRST.txt
    40.9 KB · Просмотры: 4
  • Addition.txt
    39.1 KB · Просмотры: 4
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу