Решена Подцепил вирус, которые забирает права админа и не даёт удалить Chrome

Статус
В этой теме нельзя размещать новые ответы.
O

osmos

Новый пользователь
Сообщения
14
Реакции
0
Скачал "русификатор", и понеслась. Нашел около 100 подозрительных файлов, но после чистки вирус не ушёл. Прикладываю логи.
 

Вложения

  • CollectionLog-2024.03.23-01.14.zip
    81 KB · Просмотры: 2
Писало что хром управляется организацией. Удалил его, пытался скачать заново, писало что уже скачен. И собственно вот:
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    22.6 KB · Просмотры: 6
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
akok написал(а):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
 

Вложения

  • FRST.txt
    38.8 KB · Просмотры: 2
  • Addition.txt
    52.7 KB · Просмотры: 2
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
HKU\S-1-5-20\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{E373CC8F-D4DB-417A-B9B6-7840A01A1315}C:\program files\google\chrome\application\chrome.exe] => (Allow) C:\program files\google\chrome\application\chrome.exe => Нет файла
FirewallRules: [UDP Query User{7BD1C1A0-3502-4F60-BB08-3D22BC69863E}C:\program files\google\chrome\application\chrome.exe] => (Allow) C:\program files\google\chrome\application\chrome.exe => Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
akok написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
HKU\S-1-5-20\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{E373CC8F-D4DB-417A-B9B6-7840A01A1315}C:\program files\google\chrome\application\chrome.exe] => (Allow) C:\program files\google\chrome\application\chrome.exe => Нет файла
FirewallRules: [UDP Query User{7BD1C1A0-3502-4F60-BB08-3D22BC69863E}C:\program files\google\chrome\application\chrome.exe] => (Allow) C:\program files\google\chrome\application\chrome.exe => Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
 

Вложения

  • Fixlog.txt
    4.1 KB · Просмотры: 2
Теперь этап охоты на симптомы. Проверяйте систему, что из проблемного осталось.
 
А не подскажете как именно проверить? И что конкретно? Может есть какие то бесплатные антивирусники и т.д.?
 
Подразумевалось ручная проверка в процессе эксплуатации. Хотя никто не мешает прогнать систему сканерами по требованию (kvrt, cureit! или ESET Online Scanner). На выбор.
 
akok написал(а):
Подразумевалось ручная проверка в процессе эксплуатации. Хотя никто не мешает прогнать систему сканерами по требованию (kvrt, cureit! или ESET Online Scanner). На выбор.
Нажмите для раскрытия...
Ничего не поменялось, так же нет доступа :С
 

Вложения

  • Снимок.PNG
    Снимок.PNG
    175.8 KB · Просмотры: 6
Проверил KVRTом, нашел 5 троянов, вплоть до того что троян в System memory. Сейчас вылечу и дам знать
 
Вылечил, больше троянов не обнаружено. Но все так же не могу удалить папку с гуглом, скрин выше.
 

Вложения

  • 1.PNG
    1.PNG
    227 KB · Просмотры: 9
Еще вот, не знаю связанно ли это
 

Вложения

  • 3.PNG
    3.PNG
    140.2 KB · Просмотры: 10
osmos написал(а):
Проверил KVRTом, нашел 5 троянов, вплоть до того что троян в System memory. Сейчас вылечу и дам знать
Нажмите для раскрытия...
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

Права на папку сбросьте по инструкции
www.safezone.cc

Дополнение в руководство по HiJackThis+

Инструмент Registry Key Type Analyzer (доступен, начиная с HiJackThis+ v3.0.0.1) Пригодится исследователям и разработчикам, а также хелперам, кто хочет лучше понять наличие WOW переадресации у ключа. Часть выдаваемой инфы недокументирована Microsoft. Перечисление значений, которые может...
www.safezone.cc www.safezone.cc
 
akok написал(а):
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

Права на папку сбросьте по инструкции
www.safezone.cc

Дополнение в руководство по HiJackThis+

Инструмент Registry Key Type Analyzer (доступен, начиная с HiJackThis+ v3.0.0.1) Пригодится исследователям и разработчикам, а также хелперам, кто хочет лучше понять наличие WOW переадресации у ключа. Часть выдаваемой инфы недокументирована Microsoft. Перечисление значений, которые может...
www.safezone.cc www.safezone.cc
Нажмите для раскрытия...
Сейчас
 
Последнее редактирование:
akok написал(а):
Зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

Права на папку сбросьте по инструкции
www.safezone.cc

Дополнение в руководство по HiJackThis+

Инструмент Registry Key Type Analyzer (доступен, начиная с HiJackThis+ v3.0.0.1) Пригодится исследователям и разработчикам, а также хелперам, кто хочет лучше понять наличие WOW переадресации у ключа. Часть выдаваемой инфы недокументирована Microsoft. Перечисление значений, которые может...
www.safezone.cc www.safezone.cc
Нажмите для раскрытия...
 

Вложения

  • FixFile.log
    8.2 KB · Просмотры: 2
  • Reports.rar
    2.6 KB · Просмотры: 1
Не то пофиксили ))) нужно сбрасывать права с проблемной папки, и после проверить, помогли ли действия. Если нет, то удалим папку скриптом.

Посмотрел, что нашел kvrt, из всего найденного, он удалил активатор и рекламное по.
 
@osmos, проблема сохраняется или решена?
 
  • Like
Реакции: akok
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается (и помечается решённой).
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу