Решена Осторожно, поддельный сайт!

[hsn]

В гугл хром выдает красную карточку:
Осторожно, поддельный сайт!
Посещение сайта unanalytics.com может привести к установке вредоносного ПО или хищению личной информации (например, паролей, телефонных номеров и данных банковских карт). Подробнее…

Выходит как на рабочем так и на домашнем компе.
Чистил хром куки, кэши, сбрасывал настройки хрома.
Чистил AdwCleaner.

 

[Sandor]

Здравствуйте!

гугл хром выдает красную карточку

У меня тоже выдает. Вы считаете, что это неправильно?

 

[hsn]

Здравствуйте!


У меня тоже выдает. Вы считаете, что это неправильно?

Думаю да! Возможно что-то сидит и перенаправляет на другие сайты. Раньше так не выдавало, на других компьютерах на работе такое не выходит.

 

[akok]

Думаю нет. Сайт странный, в начале стоит редирект на ww1 и ww12 unanalytics.com, в коде здоровый кусок пошифрованный base64. При том, что на ww1 выводит заглушку о парковке домена с кодами, а во втором случае просто рубит соединение.

Вывод, проблема не в системе, а "похаканом" сайте и заглушка установлена правильно. Владелец может посмотреть подробности замечаний от поисковой системы в кабинете вебмастера Google для веб-мастеров – поддержка, обучение, взаимодействие и использование Search Console – Google, а после исправления проблемы запросить перепроверку
++
Нужно будет с антивирусными компаниями поработать
VirusTotal

Кстати сайт известен как вредоносный довольно давно.

 

[akok]

А теперь к лечению.
Driver Booster - лучше динсталировать
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Duplicaterecord.js','');
 DeleteFile('C:\ProgramData\Duplicaterecord.js','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\060184C3-9766-46a0-B258-F4518A0B2633','x64');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: (no name) - {551A852F-39A6-44A7-9C13-AFBEC9185A9D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: BaiduAntivirusIconLock - {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} - (no file)
O22 - Task: (disabled) 060184C3-9766-46a0-B258-F4518A0B2633 - C:\Windows\system32\CScript.exe "C:\ProgramData\Duplicaterecord.js"

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[hsn]

Здравствуйте!


У меня тоже выдает. Вы считаете, что это неправильно?

Вы считаете что сайт VirusInfo - Бесплатное лечение компьютеров от вирусов, скорая компьютерная помощь тоже заражен?

 

[akok]

Если внимательно прочесть, то в предупреждении нет упоминания о вирусинфо. У вас вредоносное ПО которое редиректит на зараженный сайт.

 

[akok]

++++

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[hsn]

Логи и отчеты. Архив отправил.

Driver Booster - лучше динсталировать

Я его не найду в установленных программах, удалил его давно.

 

[akok]

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
VirusTotal: C:\Program Files (x86)\Android_USB_Driver_Z\Bin\MonServiceUDisk.exe;C:\Program Files (x86)\Browny02\BrYNSvc.exe; C:\WINDOWS\Wiainst.exe
File:  C:\Program Files\Psi\Psi.exe; C:\WINDOWS\Wiainst.exe
HKU\S-1-5-21-41814373-2756865464-3648712676-1000\...\Policies\Explorer: [HideSCAVolume] 1
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
Toolbar: HKU\S-1-5-21-41814373-2756865464-3648712676-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
Task: {B9198979-A2BE-4101-9A04-196A224475F2} - \060184C3-9766-46a0-B258-F4518A0B2633 -> No File <==== ATTENTION
Task: {E6CD050C-D057-4C04-AD87-F6967A524838} - System32\Tasks\Driver Booster SkipUAC (ОТ) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
C:\Program Files (x86)\IObit\Driver Booster\
AlternateDataStreams: C:\WINDOWS\Wiainst.exe:$CmdTcID [64]
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

 

[akok]

+++
Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ а логи работы упакуйте в архив и прикрепите к теме.

 

[hsn]

Кстати тоже самое выходит и на домашнем компьютере. Хром синхронизируется по учетной записи.

 

[akok]

Только в хроме проблема?

 

[Sandor]

+
Отчеты об очистке в AdwCleaner и Frst покажите.

 

[hsn]

+
Отчеты об очистке в AdwCleaner и Frst покажите.

Только в хроме проблема?

Пока не знаю, в других браузерах пока не проверял, едж запустил, посмотрю.

 

[Sandor]

едж запустил, посмотрю

Результат сообщите.

 

[hsn]

Результат сообщите.

1 час отработал, не выходило сообщения. Отключаюсь, завтра продолжим

+++
Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ а логи работы упакуйте в архив и прикрепите к теме.

тоже заватра, электричество на работе обрубают.

 

[hsn]

Похоже проблема в расширении "Продвинутая история".
смотреть тут. На домашнем компе проблема решилась. Завтра отпишусь по рабочему компу.

 

[akok]

Ну и отлично, опередили нас на шаг.