[решено] Перебои при запуске браузера, whatsapp

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Перебои при запуске браузера, whatsapp (http://forum.oszone.net/showthread.php?t=349797)

Перебои при запуске браузера, whatsapp

Доброго времени суток.

Поймал заразу, прошелся malwarebytes, он поместил все найденное в карантин и после этого иногда не с первого раза запускается браузер (chrome) и whatsapp desktop. Хочу убедиться, что зловред побежден и система не нарушена.

Файл 165455

"Пофиксите" в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac

R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

R3 - HKCU\..\URLSearchHooks: (no name) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - (no file)

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Elcomsoft (empty)

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HP\HP Support Assistant (empty)

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)

O22 - Task: BlockTopLogonUpdate - C:\Users\Властитель\AppData\Local\Programs\AdsBlockerTop\upd2.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NOICONS /NORESTART /NOCANCEL /CHROME=1

O22 - Task: bRErPeSfRbRpgN - C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\LhtawtKnOOcU2\ceRULDnagVrUE.dll",#1

O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\WINDOWS\system32\systray.exe (Microsoft)

Если "антизапрет" устанавливали самостоятельно, не отмечайте первые две строки.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: SystemRestore: On CreateRestorePoint: (SignPath Foundation -> Transmission Project) C:\Program Files (x86)\Transmission\transmission-qt.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1969505929-702183285-682868214-1002\...\MountPoints2: {69333a16-b6b9-11eb-8215-00e04c680c78} - "D:\AutoRun.exe" HKU\S-1-5-21-1969505929-702183285-682868214-1002\...\MountPoints2: {69333a31-b6b9-11eb-8215-00e04c680c78} - "D:\AutoRun.exe" GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {AF918B2A-5CAC-4A77-A2D3-A936B89BAA5E} - System32\Tasks\HNdUVGkAfiYaBBc2 => rundll32 "C:\Program Files (x86)\nySAHRpqU\eUDaVU.dll",#1 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ R2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-10-16] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ 2021-10-16 16:28 - 2021-10-16 16:28 - 000000000 ____D C:\Program Files (x86)\Transmission 2021-09-29 16:40 - 2021-09-30 18:14 - 000000000 ____D C:\Program Files (x86)\nySAHRpqU 2021-09-29 16:40 - 2021-09-30 10:44 - 000000000 ____D C:\Program Files (x86)\xGRllojrfIE 2021-09-29 16:40 - 2021-09-30 10:44 - 000000000 ____D C:\Program Files (x86)\ObiqgueJhUIJC 2021-09-29 16:40 - 2021-09-30 10:44 - 000000000 ____D C:\Program Files (x86)\iyFllqBVxwQQOtEoBAR 2021-09-29 16:40 - 2021-09-30 10:44 - 000000000 ____D C:\Program Files (x86)\DqJTCmiVduUn 2021-09-29 16:40 - 2021-09-30 05:04 - 000000000 ____D C:\Program Files (x86)\LhtawtKnOOcU2 2021-09-29 16:40 - 2021-09-29 16:40 - 000003008 _____ C:\WINDOWS\system32\Tasks\HNdUVGkAfiYaBBc2 Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{a336201e-b34a-4686-aad8-44fa749c950b}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden FirewallRules: [{71048E43-624D-4AE2-8DD3-3AF622C7527E}] => (Allow) LPort=2869 FirewallRules: [{D7943CD1-E272-49C0-89DF-C291CFDF8879}] => (Allow) LPort=1900 FirewallRules: [{4BE60AD9-CC30-4ABC-9877-4A87243ECE0F}] => (Allow) C:\Users\Властитель\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{AED8C696-F8FF-4A93-B366-7BE1935228DF}] => (Allow) C:\Users\Властитель\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{4316AA80-53C1-49CE-8379-530D3A91C7F7}] => (Allow) C:\Users\Властитель\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{3B30E41C-45AF-49B6-92E4-AA30A6D38101}] => (Allow) C:\Users\Властитель\MediaGet2\QtWebEngineProcess.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появится скрытая ранее

Цитата:

Blocks all annoying Ads 1.0.0.0

Удалите стандартно или через Geek Uninstaller

Нажал исправить до того как прочитал руководство и потом уже с созданным fixlist.txt и вставленным кодом. Прикрепляю два файла соответственно.

Файл 165476
Файл 165477

Blocks all annoying Ads 1.0.0.0 - вроде дополнение к chrome для блокировки рекламы. Зловред или некорректно работающая/настроенная программа?

Цитата:

Цитата PticaOgnennaya

вроде дополнение к chrome для блокировки рекламы »

В вашей фразе ключевое слово "вроде" :)
Она как раз и докачивает майнер, который мы только что удалили.

Цитата:

Цитата PticaOgnennaya

и потом уже с созданным fixlist.txt и вставленным кодом »

Это было лишнее, скрипт выполнился из буфера обмена (в руководстве об этом тоже сказано).

Если проблема решена, в завершение:

1. Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Цитата:

Цитата Sandor

В вашей фразе ключевое слово "вроде" »

:dont-know Не все дополнения одинаково полезны?

Цитата:

Цитата Sandor

Она как раз и докачивает майнер, который мы только что удалили. »

О, майнер, может еще и поэтому многострадальный ноут HP активно впитывал свежий воздух)

Цитата:

Цитата Sandor

Если проблема решена, в завершение: »

Попробовал запустить whatsapp - не запустился.

Кстати, в инструкции в первой части "Как выполнить скрипт в Farbar Recovery Scan Tool" про буфер не увидел.

Как именно не запустился? Была ошибка? Переустановить пробовали?

На секунду появляется колесико ожидания на курсоре и тишина.

В свойствах рабочая папка - C:\Users\Властитель\AppData\Local\WhatsApp\app-2.2140.7

После переустановки - C:\Users\Властитель\AppData\Local\WhatsApp\app-2.2134.10

В C:\Users\Властитель\AppData\Local\WhatsApp присутствуют обе папки.

Скачал заново установщик, переустановил, рабочая папка стала C:\Users\Властитель\AppData\Local\WhatsApp\app-2.2140.7 и пока WhatsApp запускается.

Цитата:

Цитата Sandor

1. Выполните процедуру, описанную на этой странице. »

https://defendium.info/aqs/qr_report...892E00DBC472FD

Цитата:

Цитата Sandor

Прикрепите этот файл к своему следующему сообщению. »

Файл 165478

Цитата:

Цитата PticaOgnennaya

и пока WhatsApp запускается »

Вот и хорошо.

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
-------------------------- [ SecurityUtilities ] --------------------------
KeePass Password Safe 2.45 v.2.45 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
SumatraPDF v.3.2 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.8.1.4 Внимание! Скачать обновления
TeamViewer v.15.16.8 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.92.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Рекомендации после лечения.