Решена При запуске меня кидает на сайт.

[nikita5533]

Не помню когда это у меня случилось, перейду к сути. Меня при запуске ноутбука кидает на какой-то сайт. Само заходится на сайт, перекидывает на другие, а в конце перекидывает на сайт 18+ (всего 20-30 сек продолжительность перекидываний), причём прошлые сайты "пустые", то есть они только-только загружались и перекидывали на следующий. Могу скинуть названия сайтов, хотя мне кажется, что это не нужно.

 

[regist]

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...

www.safezone.cc

 

[nikita5533]

Сорри, я уже сделал, просто не успел отправить.

 

[regist]

У вас помимо описанной вами проблемы ещё остатки от майнера видно.

1) Профиксите в HijackThis

O4 - HKCU\..\Run: [Asus] = C:\Windows\system32\cmd.exe /c start www.exinariuminix.info (sign: 'Microsoft')
O4 - HKCU\Control Panel\Desktop: [SCRNSAVE.EXE] = C:\Windows\INCRED~1.scr (file missing)
O4 - MSConfig\startupreg: Asus [command] = C:\Windows\system32\cmd.exe /c start www.exinariuminix.info (HKCU) (2023/09/06) (sign: 'Microsoft')
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Tasks: Asus - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Asus /t REG_SZ /d "cmd.exe /c start www.exinariuminix.info" (sign: 'Microsoft')
O22 - Tasks: CCleanerSkipUAC - Asus - C:\Program Files\CCleaner\CCleaner64.exe $(Arg0) (file missing)
O22 - Tasks: Opera scheduled Autoupdate 1675868815 - C:\Users\Asus\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Tasks: Uninstall AdwCleaner Application - C:/Users/Asus/Downloads/adwcleaner_8.4.0.exe /uninstall (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

2) Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не сработает, запускайте в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

3) MediaGet - деинсталируйте.

4) Соберите свежие логи Автологером.

 

[nikita5533]

Проблема: при запуске Автологгера пишет, что отказано в доступе + при прикреплении файла тоже было отказано, но написало, что чтобы продолжить, нажмите "Продолжить".

 

[nikita5533]

Кстати, после выполнения скрипта авбр, у меня перезапустился ноут.

 

[regist]

Кстати, после выполнения скрипта авбр, у меня перезапустился ноут.

Советую вам всё-таки читать на что соглашаетесь когда жмёте ОК, а то так и будете хватать вирусы .
Вас в самом начале утилита предупредила, что по окончанию работы перезагрузит и вы с этим согласились.

Насчёт Автологера попробуйте ещё раз его запустить, после лечения AVbr уже должен работать. И как написано в инструкции перед его запуском антивирус отключаете?
И майнер вы как лечили? Самостоятельно, тогда чем/как? Или где-то на форуме?

 

[regist]

Скачайте утилиту отсюда Быстрый обмен файлами
Запустите её опять, а потом снова пробуйте запустить Автологер.
Должен работать после этого.

 

[nikita5533]

Советую вам всё-таки читать на что соглашаетесь когда жмёте ОК, а то так и будете хватать вирусы .
Вас в самом начале утилита предупредила, что по окончанию работы перезагрузит и вы с этим согласились.

Пардон.

Насчёт Автологера попробуйте ещё раз его запустить, после лечения AVbr уже должен работать. И как написано в инструкции перед его запуском антивирус отключаете?

Я после авбр и пытался запустить, антивируса нет.

И майнер вы как лечили? Самостоятельно, тогда чем/как? Или где-то на форуме?

На форуме, вот прошлый: Решена - Происходит что-то странное

 

[Sandor]

Скачайте утилиту отсюда Быстрый обмен файлами
Запустите её опять, а потом снова пробуйте запустить Автологер.

Предыдущие файл и папку удалите.
Новый отчёт AVbr покажите и запускайте Автологер.

 

[nikita5533]

Пожалуйста.

 

[Sandor]

Спасибо.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteSchedulerTask('Asus');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Asus', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Asus', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Asus', 'command', '64');
RebootWindows(false);
end.

Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[nikita5533]

Кстати, после перезапуска открылся сайт с казино вроде.

 

[Sandor]

Это видно по логам. Выполните инструкции из моего предыдущего сообщения.

 

[nikita5533]

Хорошо.

 

[nikita5533]

Ловите.

 

[Sandor]

после перезапуска открылся сайт с казино

Этого уже нет, верно?

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

VideoAdsBlocker

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1164040657-628915492-640966225-1000\...\Policies\system: [EnableLUA] 0
  CHR DefaultSearchURL: Guest Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Guest Profile -> cdn
  C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR DefaultSearchURL: Profile 6 -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Profile 6 -> cdn
  C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR HomePage: Profile 7 -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Profile 7 -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchURL: Profile 8 -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Profile 8 -> cdn
  C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Profile 8\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR DefaultSearchURL: Profile 9 -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Profile 9 -> cdn
  C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Profile 9\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  CHR DefaultSearchURL: System Profile -> hxxps://x-finder.pro/search?q={searchTerms}
  CHR DefaultSearchKeyword: System Profile -> x-finder.pro
  CHR DefaultSuggestURL: System Profile -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
  C:\Users\Asus\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
  C:\Users\Asus\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  CustomCLSID: HKU\S-1-5-21-1164040657-628915492-640966225-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> отсутствует путь к файлу
  FirewallRules: [{15DE2F3A-0C2C-48D7-818B-1CE116B7A24B}] => (Allow) C:\Users\Asus\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{B2517AB8-1E60-4F14-A08A-33671387118C}] => (Allow) C:\Users\Asus\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{2BC1E815-DDFA-45FE-9363-AA588965BC9A}] => (Allow) C:\Users\Asus\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{60BEC497-D5BD-4DA5-8EAB-CE4F8A81AFFA}] => (Allow) C:\Users\Asus\MediaGet2\QtWebEngineProcess.exe => Нет файла
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[nikita5533]

Этого уже нет, верно?

Верно.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Тк была ошибка, удалил через принудительное удаление с помощью geek uninstaller если вы не против.

 

[Sandor]

Хорошо, всё сделано верно.

Следующий скрипт выполните в безопасном режиме:

• Выделите следующий код:
  

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\Temp\mWfXwgVEOptVAMXR
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\IPFPuXbQyciihMmAClR
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\VFxXvNQHPlUn
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\WrmUlMxhbBGQC
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\ZDekBHwSU
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files (x86)\mtKpcvEnbNTU2
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\CHaPUGRguSFbzDVB
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Profile 7\Extensions
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Profile 8\Extensions
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Profile 9\Extensions
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Asus\AppData\Local\Google\Chrome\User Data\System Profile\Extensions
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Asus\AppData\Local\Temp\RwHRwcaxBIDCSVGZr
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[nikita5533]

Если что, смогу ответить только вечером (20:00), тк у меня учеба.