Решена zurgop.c!bit

Статус
В этой теме нельзя размещать новые ответы.
SpyHunter снес, база данных у него все равно устарела, так что не жалко. Есть ли какие-либо другие антирекоммендации по использованию сканеров? Когда у меня начали появляться сообщения о трояне, я скачал несколько портабельных сканеров из надежных источников и протестировал ими свою систему. Любопытно, что только один нашел этот троян - LoarisTrojanRemover. Тогда я посчитал это за ошибку, a false positive, ведь GoogleUpdate - это легальная программа, а теперь ясно, что именно она скрывает этого трояна. Вопрос: стоит ли попробовать пролечить, как предлагает LoarisTrojanRemover, прежде чем деинсталлировать Chrome? Screenshot прикрепил.
 

Вложения

  • Loaris TR.png
    Loaris TR.png
    23.8 KB · Просмотры: 64
@Alexander Demidov, вернитесь на предыдущую страницу и выполните предложенные шаги.
Если по окончании лечения вы захотите еще что-либо попробовать, потом и поговорим ;)
Вы проделали только два пункта из сообщения №38. Делайте следующие.
 
Последнее редактирование:
Да, конечно - в чужой монастырь со своим уставом не лезут, спросил на всякий случай.
Карантин отправил, лог прикрепил.
 

Вложения

  • AVD-PC_2019-03-06_16-43-35_v4.1.2.7z
    739.6 KB · Просмотры: 1
Последнее редактирование:
Windows Defender скан не обнаружил никаких угроз.
Хром не устанавливаю, пока не получу от Вас отмашки.
Adw Cleaner нашел все те же две угрозы:
[ Chromium URLs ]
PUP.Optional.Photor photoramochka.ru
PUP.Optional.SofTonicAssistant Softonic EN
.
Хром удалял с помощью Revo Uninstaller Pro, со сканированием и чисткой всех остатков после деинсталляции.
 

Вложения

  • AdwCleaner[S10].txt
    1.9 KB · Просмотры: 1
Последнее редактирование:
Удалите вручную папку
C:\USERS\AVD\APPDATA\LOCAL\GOOGLE\CHROME\

Также пока удалите портативную версию

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    delref EZCD EXTENSION\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
    bl DA5B20ADFBCB9394590341BF1EA77E82 2384
    zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GOOGLE CHROME.LNK
    delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GOOGLE CHROME.LNK
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

Покажите свежий лог сканирования AdwCleaner.
 
Не удается удалить папку C:\Users\AVD\AppData\Local\Google\Chrome. Удалял вручную все вложенные папки одну за другой, пока не дошел до папки C:\Users\AVD\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglonldeanebhiaeocgeifacebknejjp\1.2.2_0. Ни один из вложенных элементов
_locales (папка)
icons (папка)
manifest.json (файл)
не может быть удален (screeshot Permission denied). Опция More details недоступна. Попробовал take ownership, как описано здесь:
На 10-м шаге (After that, click Edit) нет опции Edit. Двойной щелчок открывает нередактируемые свойства (все серые), как показано на прилагаемом скриншоте Permission.
 

Вложения

  • Permission.png
    Permission.png
    6.9 KB · Просмотры: 61
  • Permission denied.png
    Permission denied.png
    6.1 KB · Просмотры: 61
Выполните скрипт uVS.
 
D:\PORTABLES\CHROME@USB\ удалил, предварительно заархивировав 7-Zip'ом. Скрипт выполнил. Лог AdwCleaner'a (чистый) прикрепил.
 

Вложения

  • AdwCleaner[S11].txt
    1.9 KB · Просмотры: 1
Сделайте ещё раз сканирование Defender-ом.
 
Сделаем еще на всякий случай такую проверку:
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Запрошенный скан прикрепляю.
 

Вложения

  • MWB scan.txt
    28.7 KB · Просмотры: 2
Повторите сканирование и удалите (поместите в карантин) всё найденное, кроме (!):
Registry Key: 3
RiskWare.WinActivator, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AAct, No Action By User, [7752], [496582],1.0.9578
RiskWare.WinActivator, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{E59F8F1B-72ED-4FA6-97BF-D839D29BE274}, No Action By User, [7752], [496582],1.0.9578
RiskWare.WinActivator, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{E59F8F1B-72ED-4FA6-97BF-D839D29BE274}, No Action By User, [7752], [496582],1.0.9578

File:
RiskWare.WinActivator, C:\WINDOWS\SYSTEM32\TASKS\AAct, No Action By User, [7752], [496582],1.0.9578
RiskWare.WinActivator, C:\PROGRAMDATA\Microsoft\Windows\Start Menu\Programs\AAct - Windows & Office Activator.lnk, No Action By User, [7752], [496582],1.0.9578
RiskWare.WinActivator, C:\WINDOWS\AACT_TOOLS\AACT.EXE, No Action By User, [7752], [496582],1.0.9578

То есть, указанное выше удалять не нужно.
 
Сделано. Я также решил пока не удалять Auslogics AntiMalware Portable. Вы рекомендуете удалить эту прогу (как SpyHunter) по идейным соображениям или просто не посчитали нужным сохранить, если теперь есть MWB? Папка C:\Users\AVD\AppData\Local\Google\Chrome\User Data\Default\Extensions теперь пуста. Удалить папку C:\Users\AVD\AppData\Local\Google\Chrome, как первоначально предлагалось?
 
Да, согласен, бесполезное - я в нем толку не нашел, так что, наверное, удалю при следующей чистке. Из всех сканеров, которые я попробовал самостоятельно, прежде чем обратиться к Вам за помощью, впечатление произвел лишь Loaris Trojan Remover.
На этом все? Можно устанавливать Chrome заново?
 
Удалить папку C:\Users\AVD\AppData\Local\Google\Chrome, как первоначально предлагалось?
Удалите.

Можно устанавливать Chrome заново?
Да, только в аккаунт сразу не входите, а сделайте проверку и сообщите результат.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу