dr.WEB постоянно выдает сообщение о том что найдено и вылечено Secure Preferences CHROMIUM: PAGE.MALWARE.URL

[WhiteAsh]

Пару месяцев назад имел неосторожность запустить на компе подозрительную программу для прошивки планшета с забытым паролем от детской защиты и удаленным уже аккаунтом взрослого. В итоге систему нашпиговали всякой бякой, в ручную вычистил все, но остался Secure Preferences CHROMIUM: PAGE.MALWARE.URL каждый день стабильно один - два раза вылезает привет от антивируса.

AppData\Local\Temp\ вычищал, реестр где знал почистил. Помогите победить заразу эту.

[Info_bot]

Уважаемый(ая) WhiteAsh, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\ProgramData\regular-skull\bin.exe', '64');
 DeleteFile('C:\Users\roman\AppData\Local\Programs\902fa63aa998\f032719dca.msi', '64');
 DeleteFileMask('c:\programdata\regular-skull', '*', true);
 DeleteFileMask('c:\users\roman\appdata\local\programs\902fa63aa998', '*', true);
 DeleteDirectory('c:\programdata\regular-skull');
 DeleteDirectory('c:\users\roman\appdata\local\programs\902fa63aa998');
 DeleteSchedulerTask('nameless-sofa');
 DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1724264345');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1724264341');
 DeleteSchedulerTask('tabgallery-thumbnail-S-1-5-21-3131505719-3521680273-731322040-1001');
 DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC (64 Bit).lnk"          -> ["C:\Program Files\Adobe\Adobe Photoshop CC (64 Bit)\Photoshop.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"       -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"         -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\roman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"         -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\roman\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"           -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\roman\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"           -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "E:\Desktop\Utilites\R-Drive Image.lnk"       -> ["C:\Program Files (x86)\R-Drive Image\R-DriveImage.exe"]
>>>  "E:\Desktop\Адес — ярлык.lnk"       -> ["C:\Users\roman\OneDrive\Документы\Адес.doc"]
>>>  "E:\Desktop\GAMES\Game Center.lnk"  -> ["C:\ProgramData\Wargaming.net\GameCenter\wgc.exe"]
>>>  "E:\Desktop\GAMES\Hearthstone.lnk"  -> ["D:\GAMES\Hearthstone\Hearthstone Beta Launcher.exe"]
>>>  "E:\Desktop\GAMES\Mafia - The City of Lost Heaven.lnk"  -> ["D:\GAMES\Mafia - The City of Lost Heaven\Game.exe"]
>>>  "E:\Desktop\GAMES\Origin.lnk"       -> ["C:\Program Files (x86)\Origin\Origin.exe"]
>>>  "E:\Desktop\Utilites\CrystalDiskMark 5.lnk"   -> ["C:\Program Files\CrystalDiskMark5\DiskMark64.exe"]
>>>  "E:\Desktop\Utilites\Format Factory.lnk"      -> ["C:\Program Files (x86)\FormatFactory\FormatFactory.exe"]
>>>  "E:\Desktop\Utilites\Hetman Partition Recovery.lnk"     -> ["C:\Program Files (x86)\Hetman Software\Hetman Partition Recovery 2.7\Hetman Partition Recovery.exe"]
>>>  "E:\Desktop\Utilites\MSI Afterburner.lnk"     -> ["C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe"]
>>>  "E:\Desktop\Utilites\Recuva.lnk"    -> ["C:\Program Files\Recuva\recuva64.exe"]
>>>  "E:\Desktop\Utilites\Windows 7 USB DVD Download Tool.lnk"         -> ["C:\Users\roman\AppData\Local\Apps\Windows 7 USB DVD Download Tool\Windows7-USB-DVD-Download-Tool.exe"]
>>>  "E:\Desktop\Utilites\JetFlash Online Recovery.lnk"      -> ["C:\Program Files (x86)\Transcend\JetFlash Online Recovery\JetFlash Online Recovery.exe"]
>>>  "E:\Desktop\Utilites\Auslogics Duplicate File Finder.lnk"         -> ["C:\Program Files (x86)\Auslogics\Duplicate File Finder\DuplicateFileFinder.exe"]
>>>  "E:\Desktop\Utilites\AA_v3 — ярлык.lnk"       -> ["E:\Downloads\AA_v3.exe"]
>>>  "E:\Desktop\GAMES\The Sims 4.lnk"   -> ["D:\GAMES\The Sims 4\Game\Bin\TS4_x64.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[WhiteAsh]

Спасибо за ответ!

Все выполнил, отчеты работы программ во вложении.

После проверки антивирусом снова найден тот же зловред.

[Vvvyg]

Удалите расширение Planet Search в Хроме.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-3131505719-3521680273-731322040-1001\...\Run: [Download Master] => C:\Program Files (x86)\Download Master\dmaster.exe -autorun (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
S3 HWiNFO_191; \??\C:\Users\roman\AppData\Local\Temp\HWiNFO64A_191.SYS [X] <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-3131505719-3521680273-731322040-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2024 - English\dwgviewr.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-3131505719-3521680273-731322040-1001_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2024 - English\en-US\dwgviewrficn.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3131505719-3521680273-731322040-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\roman\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3131505719-3521680273-731322040-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\roman\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3131505719-3521680273-731322040-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\roman\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3131505719-3521680273-731322040-1001_Classes\CLSID\{F1658933-2997-4DDB-869C-061D53A9718E}\InprocServer32 -> C:\Users\roman\AppData\Local\Microsoft\EdgeUpdate\1.3.195.21\psuser_64.dll => Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt0] -> {C568C78A-652C-425B-8E6B-FFA73043302D} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt1] -> {2A6FE247-5DA3-4732-9626-77820518FD77} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt2] -> {FF895810-293B-464A-93F2-82D11E07EEC8} =>  -> Нет файла
HKU\S-1-5-21-3131505719-3521680273-731322040-1001\...\StartupApproved\Run: => "Download Master"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Очистите кеш и cookie в Хроме.

Сообщите, что с проблемой.

[WhiteAsh]

расширение удалено, код выполнен, компьютер перезагрузился. при запуске гугл хром вылетел с ошибкой. Восстановил ранее открытые окна(все по работе, ничего лишнего и левого).

Сканер drWeb угроз не обнаружил. Спасибо большое за помощь в решении проблемы!

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[WhiteAsh]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

SecurityCheck by glax24 & Severnyj лог работы программы

- - - - -Добавлено - - - - -

снова вылетело сегодня сообщение от drweb о найденой угрозе

[Vvvyg]

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ".

Это, собственно? не зловред, а стартовая страница в браузере, которую прописывает, скорее всего, какая-то программа, взломанная игра. Удалите лишние стартовые страницы в Google Chrome. Проверьте, не появились лишние расширения.

Синхронизация аккаунта Google включена?

[WhiteAsh]

синхронизация включена. Другие утройства в данный момент не используются. Последний раз использовал месяцев 5 назад, так что с той стороны точно ничего не могло прилететь.
Стартовых страниц лишних нет в браузере. Установлено открывать ранее открытые вкладки. Из расширений: визуальные закладки, Юбуст, AdBlock Plus

[Vvvyg]

Сделайте новые логи FRST.

[WhiteAsh]

новые логи. Вчера не смог загрузить - проблемы с интернетом со стороны провайдера были.

[Vvvyg]

Уведомление

Внимание, куки браузеров будут очищены, при входе на сайты с авторизацией может последовать запрос пароля

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Нет файла]
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
AlternateDataStreams: C:\ProgramData\TEMP:1AAB2E68 [125]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9854]
HKU\S-1-5-21-3131505719-3521680273-731322040-1001\...\StartupApproved\Run: => "Opera Browser Assistant"
HKU\S-1-5-21-3131505719-3521680273-731322040-1001\...\StartupApproved\Run: => "Opera Stable"
Emptytemp:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Удалите программы Bonjour, Unity Web Player.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

[WhiteAsh]

выполнил код. Наблюдаю за поведением антивирусника)

Bonjour - это Apple приложение. Для чего его удалять?

[Vvvyg]

Bonjour - это Apple приложение. Для чего его удалять?

Оно, как минимум, бесполезно даже для тех, у кого в сети есть устройства от Apple, а в некоторых случаях вызывает проблемы в сети. По желанию, можете оставить.

[WhiteAsh]

по прежнему вылетает сообщение от антивирусника.
единственное я установил 2 расширения в хром - визуальные закладки яндекс и юбуст. все из магазина расширений.

[Vvvyg]

Значит, из-за синхронизации возвращается, исправить можно только через расширенный сброс настроек Google Chrome.

Запустите Google Chrome.
Щёлкните мышью на значке профиля в верхнем правом углу браузера (рядом с тремя точками), всплывёт небольшое окно.
Щёлкните на строке Синхронизация включена.
Появится новая вкладка браузера в которой будет возможность изменить настройки профиля Google.
Нажмите кнопку Отключить (напротив значка профиля).
В центре появится диалоговое окно.
Нажмите кнопку Отключить, подтверждая остановку синхронизации с облаком Google.
Диалоговое окно подтверждения закроется и Вы вернётесь к настройкам учётной записи.
Также будет произведён выход из учётной записи Google.
Зайдите по адресу Данные Chrome в вашем аккаунте.
Будет предложено войти в учётную запись Google.
Введите имя и пароль вашей учётной записи Google.
Появится страница "Данные Chrome в вашем аккаунте" с перечнем основных данных, синхронизируемых с облаком.
Прокрутите вниз и нажмите кнопку Удаление данных.
Появится сообщение об остановке синхронизации данных с облаком.
Закройте Google Chrome.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR HKU\S-1-5-21-3131505719-3521680273-731322040-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pojmlllkhfjlhaagafkbfclmbhjknppp]
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Теперь можно снова включить синхронизацию.
При использовании этой же учётной записи Google на других устройствах, необходимо проделать те же шаги на всех устройствах до включения синхронизации.

[WhiteAsh]

Сделал. сначала пропустил пункт один из рекомендаций, потом повторно выполнил все , но файл перезаписался.. Изначально в тектовом была удалена стартовая страница и сброшен ключ в реестре. В настройках синхронизации убрал галки лишние, вроде больше не откуда прилетать этой заразе.

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

И закончим на этом.

[WhiteAsh]

Прошо несколько дней - полет нормальный. Больше вроде не вылетает сообщение. Спасибо за помощь!