Решена Chrome упорно " Управляется вашей организацией» "

[kri128]

19 декабря обнаружил ограниченную работоспособность программы КриптоАРМ (шифрование переписки) - при загрузке Windows появлялось не убираемое окно с сообщением о ошибке.

20 декабря скопировал ключи программы на внешний носитель до попытки восстановить программу, программа восстановлена из дистрибутива

22 декабря Обнаружено сообщение в браузере Chrome о том что он " Управляется вашей организацией» "



Информация из chrome://policy/ :

Правило: Chrome Enterprise Policy List & Management | Documentation

Значение правила: iddmabhekhhonkmomaklnflhhgbfnioe,iekgbdpnpffnlhdgidnfefbmfffpldig

Источник: платформа

Объект применения локальный компьютер

Уровень: обязательная

Состояние: ОК



Компьютер работает в домашней локальной сети. На других компьютерах сети такого явления не происходит.

Возникло подозрение на вирус. Запущена ПОЛНАЯ проверка Microsoft Securitu Essential > Подозрительных активностей не обнаружено.



23 декабря Скачано и запущены (поочередно): приложение MSEInstall (Microsoft) - сканирование 2 суток

24-12-2022 обработал DrWebCureIt = vxismzl2.exe. Обнаружен 21 объект. более 100 объектов отправил на карантин.

25-12-2022 AdwCleaner нашел примерно 150 объектов (переместил в карантин)

26-12-2022 Нашел сообщение что политики Chrome находятся в реестре по адресу HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google HKEY_CURRENT_USER\Software\Policies\Google

Экспортировал ветвь реестра на всякий случай и удалил её.



При запуске с правами администратора Информация из chrome://policy/ :

Правило: Chrome Enterprise Policy List & Management | Documentation

Значение правила: { }

Источник: платформа

Уровень: обязательная

Состояние: ОК



Сделал сброс настроек браузера Хром. Отключил синхронизацию. Перезагрузил компьютер.



Хром по-прежнему управляется организацией.



Загрузил AutoLogger и запустил сканирование. Файл CollectionLog-2022.12.27-00.00 прилагаю.

 

[kri128]

Не дождался ответа. Пытаюсь самостоятельно изучать логи. В HiJackThis.log подозрительная задача O22 - Tasks: ybirMoNpFgIkKkH2 - C:\Windows\system32\rundll32.exe "C:\Program Files (x86)\SsjcqWzPU\roetoN.dll",#1

Удалил C:\Program Files (x86)\SsjcqWzPU\roetoN.dll т.к. согласно данным VirusTotal он содержит вирус обнаруженный 43-мя антивирусными программами из 71. Да и название каталога показалось подозрительным.

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\gBflyZJuUhYJRBVB\gIhFLhs.wsf', '');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Programs\asevcuk865\0dd8e6b0f6.msi', '');
 QuarantineFileF('C:\Program Files (x86)\SsjcqWzPU\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\gBflyZJuUhYJRBVB\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Администратор\AppData\Local\Programs\asevcuk865\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\gBflyZJuUhYJRBVB\gIhFLhs.wsf');
 DeleteFile('C:\Users\Администратор\AppData\Local\Programs\asevcuk865\0dd8e6b0f6.msi');
 DeleteFileMask('C:\Program Files (x86)\SsjcqWzPU\', '*', true);
 DeleteFileMask('C:\ProgramData\gBflyZJuUhYJRBVB\', '*', true);
 DeleteFileMask('C:\Users\Администратор\AppData\Local\Programs\asevcuk865\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\SsjcqWzPU\');
 DeleteDirectory('C:\ProgramData\gBflyZJuUhYJRBVB\');
 DeleteDirectory('C:\Users\Администратор\AppData\Local\Programs\asevcuk865\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Профиксите в HijackThis

O22 - BITS Job: Fix all (including legit)

Трассировки маршрутов сами прописывали?

+ Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.


PS. Сами понимаете из-за праздников у всех напряг со свободным временем, поэтому редко на сайт все заходят.

 

[kri128]

Карантин отправил
Имя карантина:
2022.12.28_quarantine_056c9a12a1b641f08ee5cd7e17d051fb.zip

 

[kri128]

отчёт о сканировании FRST

 

[kri128]

трассировки маршрутов использовались из пакета AutoLogger

 

[regist]

трассировки маршрутов использовались из пакета AutoLogger

Автологер не прописывает статические маршруты, а только проверяет их наличие. Для их удаления выполните скрипт в AVZ

begin
 ExecuteRepair(22);
end.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\user\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3807999958-2028116015-2810377669-500\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {2AB249FB-73D2-4B20-B573-377F31D32E2F} - System32\Tasks\emqZKwtDAZqpLFSAUUg2 => rundll32 "C:\Program Files (x86)\GrfsDWLnzAdYC\xtfenhC.dll",#1 <==== ВНИМАНИЕ
  Task: {318F4D63-1124-4E13-BBBC-3E4D3DBD7BE4} - System32\Tasks\EEmOlIsmpXzmvp => rundll32 "C:\Program Files (x86)\eTMjeSRTYbgU2\athxwEteGhixF.dll",#1 <==== ВНИМАНИЕ
  Task: {31D3B4AC-27E6-4F6B-9ECB-C678196B135D} - System32\Tasks\premises-proceeding => C:\ProgramData\positive-present\bin.exe /H (Нет файла)
  Task: {917ED835-F5B4-4351-BC11-DDFB2F856DA3} - System32\Tasks\AdLock Update Task-S-1-5-21-3807999958-2028116015-2810377669-500 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\Администратор\AppData\Local\Programs\asevcuk865\0dd8e6b0f6.msi" /quiet CHROME=1
  Task: {C34CD137-0939-46EC-B9DF-EBF33263CE30} - System32\Tasks\ArWlBnCcTOSVvsJoC2 => rundll32 "C:\Program Files (x86)\rFojNdNJHgXWrpNrlgR\qioBnZh.dll",#1 <==== ВНИМАНИЕ
  Task: {D7B874C2-87F7-45E5-B03C-2B5BFF38C104} - System32\Tasks\HTMioWuLCOYmBrB2 => rundll32 "C:\Program Files (x86)\ZxNijgauU\txEehx.dll",#1 <==== ВНИМАНИЕ
  Task: {F9BC2500-9E52-4DEB-9E29-21BD0787D503} - System32\Tasks\DlgCcEvylwLIC2 => C:\Windows\system32\wscript.exe "C:\ProgramData\PuFtsnVWZFHGfrVB\oVyXsUp.wsf" <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [hkmfdialkjnljbcnincgpollobclebaf]
  2022-12-28 17:18 - 2022-12-28 17:18 - 000003202 _____ C:\Windows\system32\Tasks\EEmOlIsmpXzmvp
  2022-12-28 17:18 - 2022-12-28 17:18 - 000002890 _____ C:\Windows\system32\Tasks\DlgCcEvylwLIC2
  2022-12-28 17:18 - 2022-12-28 17:18 - 000002872 _____ C:\Windows\system32\Tasks\ArWlBnCcTOSVvsJoC2
  2022-12-28 17:18 - 2022-12-28 17:18 - 000002860 _____ C:\Windows\system32\Tasks\emqZKwtDAZqpLFSAUUg2
  2022-12-28 17:18 - 2022-12-28 17:18 - 000002850 _____ C:\Windows\system32\Tasks\HTMioWuLCOYmBrB2
  2022-12-28 17:18 - 2022-12-28 17:18 - 000000000 ____D C:\ProgramData\PuFtsnVWZFHGfrVB
  2022-12-28 17:18 - 2022-12-28 17:18 - 000000000 ____D C:\Program Files (x86)\ZxNijgauU
  2022-12-28 17:18 - 2022-12-28 17:18 - 000000000 ____D C:\Program Files (x86)\rFojNdNJHgXWrpNrlgR
  2022-12-28 17:18 - 2022-12-28 17:18 - 000000000 ____D C:\Program Files (x86)\GrfsDWLnzAdYC
  2022-12-28 17:18 - 2022-12-28 17:18 - 000000000 ____D C:\Program Files (x86)\eTMjeSRTYbgU2
  2022-12-28 17:18 - 2022-12-28 17:18 - 000000000 ____D C:\Program Files (x86)\cfFpuwiVexUn
  FirewallRules: [TCP Query User{BC85DC55-206B-4F53-8EC7-1F11766BDCC1}E:\_sdi\sdi_x64_r536.exe] => (Block) E:\_sdi\sdi_x64_r536.exe => Нет файла
  FirewallRules: [UDP Query User{6EA7C79D-1967-45BD-9902-7CF86707B81E}E:\_sdi\sdi_x64_r536.exe] => (Block) E:\_sdi\sdi_x64_r536.exe => Нет файла
  FirewallRules: [TCP Query User{4556154E-AAC6-4921-9C9C-625C3104AD54}C:\games\world_of_tanks\wotlauncher.exe] => (Block) C:\games\world_of_tanks\wotlauncher.exe => Нет файла
  FirewallRules: [UDP Query User{68A1A9F9-4519-4346-9A4C-22936778DC63}C:\games\world_of_tanks\wotlauncher.exe] => (Block) C:\games\world_of_tanks\wotlauncher.exe => Нет файла
  FirewallRules: [{C0F2F207-C1D8-4DB9-B638-8EE311C4B34F}] => (Allow) C:\Program Files (x86)\Skype\Phone\Skype.exe => Нет файла
  FirewallRules: [{9FC8762D-902A-4357-8D64-7EACA4458515}] => (Allow) C:\Games\World_of_Tanks\WoTLauncher.exe => Нет файла
  FirewallRules: [{99E5ADAB-71C8-449C-AC29-A493A8464630}] => (Allow) C:\Games\World_of_Tanks\WoTLauncher.exe => Нет файла
  FirewallRules: [{5CF00103-51B8-4901-BD18-322C87B02005}] => (Allow) C:\Games\World_of_Tanks\worldoftanks.exe => Нет файла
  FirewallRules: [{6D34A2E9-442F-422F-8BBB-040B2626B40E}] => (Allow) C:\Games\World_of_Tanks\worldoftanks.exe => Нет файла
  FirewallRules: [{2A84A3E7-387C-4667-9DAF-6F09CD552B37}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DRL Simulator\drlsim.exe => Нет файла
  FirewallRules: [{13552EE7-9D67-4317-894B-AB90FD7CEB88}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DRL Simulator\drlsim.exe => Нет файла
  FirewallRules: [UDP Query User{43165ED3-0B87-42CF-BCF3-0C0246954359}C:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe => Нет файла
  FirewallRules: [TCP Query User{E6144C54-ADD1-4A23-A704-9A21FAF373FA}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла
  FirewallRules: [UDP Query User{AFB1B56E-2EA1-4349-A871-25C8D5CE2C6D}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла
  FirewallRules: [TCP Query User{000BE1DB-6AFA-4C81-AB0C-CBCE1450BAA0}C:\program files (x86)\v380\v380.exe] => (Block) C:\program files (x86)\v380\v380.exe => Нет файла
  FirewallRules: [UDP Query User{7E1B34CA-8D87-49EC-8D96-0A1FBD352BB9}C:\program files (x86)\v380\v380.exe] => (Block) C:\program files (x86)\v380\v380.exe => Нет файла
  FirewallRules: [TCP Query User{8BE1A716-D238-44E8-A722-B185300CD5C7}C:\games\world_of_tanks\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win64\worldoftanks.exe => Нет файла
  FirewallRules: [UDP Query User{534738A1-764C-4EBD-95DA-D4CBFC1E60D6}C:\games\world_of_tanks\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks\win64\worldoftanks.exe => Нет файла
  FirewallRules: [{7751DEA0-49B5-420F-AF39-114581CEF850}] => (Allow) C:\Users\Администратор\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{084E2BCE-BEB6-41F0-B22A-C6B2EB445F4C}] => (Allow) C:\Users\Администратор\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{AB652B6D-FE23-47C6-9191-B83AB64E51AC}] => (Allow) C:\Users\Администратор\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{37606034-41D0-46BF-9799-A894E8717B98}] => (Allow) C:\Users\Администратор\MediaGet2\QtWebEngineProcess.exe => Нет файла
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

Соберите свежие логи FRST.

 

[kri128]

Выполнено всё Вами предписанное.

Личная просьба аккуратно (по возможности) отнестись к изменениям относящимся к Firefox. Я знаю что его версия устарела настолько, что не могут устанавливаться автоматические обновления. Но к нему подключены расширения, которые сейчас не существуют (или не работают) на новых версиях этого браузера. А они дороги мне как память ;-)

 

[kri128]

Забыл сообщить - вчера через безопасную загрузку Win7 и учетную запись администратора отключил Chrome сообщение о необходимости перехода на Win10.

[HKEY_CURRENT_USER\Software\Policies\Google\Chrome]
"SuppressUnsupportedOSWarning"=dword:00000001

В Policy появилась соответствующая запись. В настоящее время (после рекомендованных Вами действий) Нет ни сообщения о необходимости перехода на Win10, ни сообщения "Управляется вашей организацией"

Проблема решена? Или требуются дополнительные действия (Вы ввели в систему некие временные ограничения?)

 

[kri128]

Сообщение о необходимости перехода на Win10 появилось вновь после нескольких перезапусков Chome

 

[regist]

Сообщение о необходимости перехода на Win10 появилось вновь после нескольких перезапусков Chome

Отключите снова, сбросилось скорее всего скриптом FRST.
И я просил свежие логи FRST, вы их не прикрепили.

 

[kri128]

Извините. Провел сканирование (FRST обновился при запуске сегодня) Высылаю запрошенные файлы.

С наступающим Новым 2023 годом!

 

[regist]

Логи AdwCleaner-а было бы любопытно увидеть.
+ Судя по тому, что он у вас прописался в установленных вы его качали не с оф. сайта, а с какой-то помойки где его перепаковал неизвестно кто, неизвестно как и неизвестно что туда добавил.

Потом

AdwCleaner, версия 7.2.1 (HKLM-x32\...\{2526B21F-A748-12B8-BF1E-16469B653423}_is1) (Version: 7.2.1 - AdwCleaner)
Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-3807999958-2028116015-2810377669-500\...\{107b3ac6-d739-41b1-ba12-7365e88774ee}) (Version: 1.0.0.0 - asevcuk865) Hidden
VideoAdsBlocker (HKLM-x32\...\2F474846-4583-463A-8199-5EA322B7CA5D) (Version: 2.0.0.2265 - )

Деинсталируйте эти программы, Ultimate Ad Eraser у вас скрытый, поэтому используйте эту инструкцию: https://www.safezone.cc/threads/kak-deinstallirovat-skrytuju-programmu-cherez-hijackthis.38311/

+

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

[kri128]

Сейчас начну. Пока замечание - пропала локальная сеть между домашними компьютерами. Интернет (яндекс, ютуб и проч. есть)

 

[kri128]

Логи Adw (старые) повторно не запускал.

 

[kri128]

Лог работы

 

[kri128]

AdwCleaner удалил стандартным способом. При попытке удаления VideoAdsBlocker получил сообщение об ошибке (см. ррисунок)

 

[kri128]

Приведенная Вами ссылка (SecurityCheck by glax24 & Severnyj отсюда ) не работает. Я ранее скачал этот файл с Вашего сайта. Лог его работы прилагаю. Рекомендации после лечения не выполнял так как не смог удалить VideoAdsBlocker и проявилась проблема с отсутствием доступа к локальной сети .

 

[kri128]

Скачивал SecurityChec отсюда https://www.safezone.cc/resources/security-check-by-glax24.25/

 

[kri128]

Вопрос о проблемах локальной сети снимается. Найдена причина - аппаратный отказ одного из коммутаторов.