- Сообщения
- 16,475
- Решения
- 1
- Реакции
- 3,449
Здравствуйте!
Пока в логах ничего особо вредоносного не найдено.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Отметьте дополнительно галочкой пункт "90 дней".
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Пока в логах ничего особо вредоносного не найдено.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Отметьте дополнительно галочкой пункт "90 дней".
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,475
- Решения
- 1
- Реакции
- 3,449
Не исключено.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: RemoveProxy: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\system32\systray.exe GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {78D63298-2D9B-4B95-B086-839DF1D3359B} - System32\Tasks\SystemOptimizer => C:\Program Files\HP\SystemOptimizer\SystemOptimizer.exe (Нет файла) CHR Notifications: Default -> hxxps://app.mail3.me; hxxps://coinstats.app; hxxps://ethermail.io; hxxps://meet.google.com; hxxps://oasisprotocolhub.org; hxxps://papaly.com; hxxps://snapshot.org; hxxps://twitter.com; hxxps://www.duolingo.com AlternateDataStreams: C:\ProgramData:iSpring Solutions [128] AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128] AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [128] AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\ProgramData\system.conf:0F57F3FDE6 [10] AlternateDataStreams: C:\ProgramData\system.conf:422D4106AB [10] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [10] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anchor Wallet.lnk:B533516F69 [10] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [10] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [10] AlternateDataStreams: C:\Users\Евгений\Application Data:955d2a2f697b1c9b40c63a2dd2b7d393 [394] AlternateDataStreams: C:\Users\Евгений\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\Евгений\Desktop\Epic Games Launcher.lnk:BE32D07BC5 [10] AlternateDataStreams: C:\Users\Евгений\AppData\Roaming:955d2a2f697b1c9b40c63a2dd2b7d393 [394] AlternateDataStreams: C:\Users\Евгений\AppData\Roaming:iSpring Solutions [128] StartBatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*" EndBatch: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
В Chrome у вас очень много расширений, причем во всех профилях. Пересмотрите их и удалите те, которыми не пользуетесь.
На системном диске маловато свободного места, всего 13% от общего объема. Считается, что нормальная работа обеспечивается при не менее 20% свободного места.
@Sandor, если при исправлении FRST завис примерно так - как лучше поступить? запустить заново?
по поводу расширений и диска - обязательно займусь, но сейчас если честно больше смотрю в сторону полной переустановки Windows
и еще, оказалось что Mozilla выдала ошибку в процессе исправления, только сейчас заметил
по поводу расширений и диска - обязательно займусь, но сейчас если честно больше смотрю в сторону полной переустановки Windows
и еще, оказалось что Mozilla выдала ошибку в процессе исправления, только сейчас заметил
Вложения
- Сообщения
- 16,475
- Решения
- 1
- Реакции
- 3,449
Нет, повторять фикс не нужно. В целом - отработал нормально.
Ещё один небольшой скрипт выполните в безопасном режиме:
Ещё один небольшой скрипт выполните в безопасном режиме:
- Выделите следующий код:
Код:Start:: DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
@Sandor, сделано, посмотрите пожалуйста насколько всё хорошо прошло
эти скрипты почистили кэш приложений, я правильно понял? или ещё что то было сделано?
и ещё вопрос, как то узнать вообще как и когда был заражен пк, какие данные утекли, возможно вообще? я просто не один такой, и случаи у всех разные, мы думали что к чему то общему придём, но пока что даже идей толком нет, как и что конкретно могли подхватить
эти скрипты почистили кэш приложений, я правильно понял? или ещё что то было сделано?
и ещё вопрос, как то узнать вообще как и когда был заражен пк, какие данные утекли, возможно вообще? я просто не один такой, и случаи у всех разные, мы думали что к чему то общему придём, но пока что даже идей толком нет, как и что конкретно могли подхватить
- Сообщения
- 16,475
- Решения
- 1
- Реакции
- 3,449
Дело в том, что исследование инцидента - это совсем другой вид деятельности. Здесь мы помогаем вылечить зараженную систему и даём индивидуальные рекомендации на основе собранных логов.
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
Были очищены мусорные записи и удалено исключение Защитника на папку C:\Windows
В завершение:
1.
- Пожалуйста, запустите adwcleaner.exe
- В меню Параметры прокрутите вниз и выберите Удалить.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Сообщения
- 16,475
- Решения
- 1
- Реакции
- 3,449
Если вы самостоятельно не вносили это исключение, то да, вредонос мог это сделать.
Исправьте по возможности:
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.60.3 (64-bit) v.5.60.3 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.4.2 Внимание! Скачать обновления
Git v.2.38.1 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.32 v.6.1.32 Внимание! Скачать обновления
Node.js v.16.15.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code (User) v.1.75.1 Внимание! Скачать обновления
Python 3.10.10 (64-bit) v.3.10.10150.0 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-bit) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.14.8 (16213) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.4.5 Full v.17.4.5 Внимание! Скачать обновления
VLC media player v.3.0.17.4 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 en-US) v.114.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Brave v.98.1.35.103 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.13 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Razer Cortex v.10.7.7.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Читайте Рекомендации после удаления вредоносного ПО
Исправьте по возможности:
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie 5.60.3 (64-bit) v.5.60.3 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.4.2 Внимание! Скачать обновления
Git v.2.38.1 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.32 v.6.1.32 Внимание! Скачать обновления
Node.js v.16.15.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code (User) v.1.75.1 Внимание! Скачать обновления
Python 3.10.10 (64-bit) v.3.10.10150.0 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-bit) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.14.8 (16213) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.4.5 Full v.17.4.5 Внимание! Скачать обновления
VLC media player v.3.0.17.4 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 en-US) v.114.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Brave v.98.1.35.103 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.13 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Razer Cortex v.10.7.7.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Читайте Рекомендации после удаления вредоносного ПО
- Сообщения
- 16,475
- Решения
- 1
- Реакции
- 3,449
Сделайте Сброс настроек браузера Chrome.
Проверьте и сообщите результат.
Проверьте и сообщите результат.
@Sandor,
***** [ Chromium URLs ] *****
Not Deleted yambler
видимо он не в хроме а в другом хромиум браузере, но вообще я ни разу этот сайт не видел нигде кроме как в адвклинере
еще вопрос, вы не подскажете, может можно как то посмотреть историю изменений файлов/по на компьютере, чтобы понять когда был заражен?
***** [ Chromium URLs ] *****
Not Deleted yambler
видимо он не в хроме а в другом хромиум браузере, но вообще я ни разу этот сайт не видел нигде кроме как в адвклинере
еще вопрос, вы не подскажете, может можно как то посмотреть историю изменений файлов/по на компьютере, чтобы понять когда был заражен?
- Сообщения
- 16,475
- Решения
- 1
- Реакции
- 3,449
Отключите синхронизацию в Chrome, (если включена).
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: CHR NewTab: Default -> Not-active:"chrome-extension://gaoijlmokigkaaocblpcmlifgipojeip/tab.html" CHR DefaultSearchURL: Profile 2 -> hxxps://neeva.com/search?q={searchTerms}&src=nvobar CHR DefaultSearchKeyword: Profile 2 -> Neeva Search CHR DefaultSuggestURL: Profile 2 -> hxxps://neeva.com/suggest?q={searchTerms}&src=nvobar C:\Users\Евгений\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aookogakccicaoigoofnnmeclkignpdk Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Похожие темы
- Закрыта
