В работе Время от времени открывается (если включен хром) САМ открывается алиэкспрес

Переводчик Google

Block_Neserite

Новый пользователь
Сообщения
18
Реакции
1
Время то времени открывается (если включен хром) САМ открывается алиэкспрес.
 

Вложения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Local\ODA3\asset.txt','');
 QuarantineFile('C:\Users\User\AppData\Local\ODA3\ODA3.exe','');
 DeleteFile('C:\Users\User\AppData\Local\ODA3\ODA3.exe','64');
 DeleteFile('C:\Users\User\AppData\Local\ODA3\asset.txt','64');
 DeleteSchedulerTask('WindowsErrorReporting_ODA3');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - BITS Job: (download) {C1F01BA7-656F-4BC7-8419-F399DAED0E80} - MicrosoftMapsBingGeoStore - (no URL)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
AdwCleaner[C00].txt - что тут удалялось?
 
Это файл в который пишется удаленное AdwCleaner, мне нужно увидеть, что удалялось, прикрепите этот файл к теме.
 
Вот все файлы удалось востановить. Просто S02 Был сделан после всех манипуляций.
 

Вложения

  • Like
Реакции: akok
Понял, окно и сейчас выскакивает? Только при работе chrome, или просто при запущенном компьютере? В других браузерах проверяли?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Нет, на замечал что-бы открывался. Но я напишу если проблема останится.
 

Вложения

Тогда понятно, почему не видел ничего крамольного

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
    FirewallRules: [{2CBB8B2B-1CA8-49C3-BC26-EB27476E6FA1}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
    FirewallRules: [{46C3FC8C-5D4D-44BF-AA57-0BE37EC89E27}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
    FirewallRules: [{4E2E258A-A5AE-40FD-B079-8E81B2F76FC5}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
    FirewallRules: [{33A2B4B9-2737-4EED-AC23-9D1492BD4EA7}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
    FirewallRules: [UDP Query User{F721A8EE-3DD5-4BAA-8AB6-A441DD877EB8}C:\users\user\onedrive\desktop\папка\anydesk.exe] => (Allow) C:\users\user\onedrive\desktop\папка\anydesk.exe => Нет файла
    FirewallRules: [TCP Query User{36506D4C-374E-43C4-A75D-D50217673740}D:\sklauncher-3.2.10.exe] => (Allow) D:\sklauncher-3.2.10.exe => Нет файла
    FirewallRules: [UDP Query User{E1D73E3C-7A5F-49C8-AA76-786A1369D45B}D:\sklauncher-3.2.10.exe] => (Allow) D:\sklauncher-3.2.10.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После понаблюдайте пару дней, если все будет хорошо, то будем финализировать.
 
Приклепляю. (Сегодня снова открылся Алиекспресс)
 

Вложения

Только при работе chrome, или просто при запущенном компьютере? В других браузерах проверяли?
тогда нужно отловить. +++ на конкретном сайте или на всех?
 
"Сегодня снова открылся Алиекспресс" Всмысте до фикса.

"на конкретном сайте или на всех" не знаю вроде на всех
 
значим ждем
 
Сайт один и тот же?
 
Пришлите ка мне в лс ссылку, похоже это проблема конкретного сайта.
 
Назад
Сверху Снизу