Добрый день.
Система - Windows 10 Pro.
Поймал я на днях в Мозиллу вирус (или не вирус) "newtab.club". Кто не слышал о нем - это когда при нажатие на "плюс" в меню вкладок, открывается не плитка с вашими закрепленными вкладками, а какая-то мутотень от указанного выше "вируса". Помимо этого, в браузерах стала вылезать тупейшая реклама навроде "ЧТОБЫ ПОХУДЕТЬ НУЖНО ВСЕГО ЛИШЬ..." - и блокировщики ее не резали. Причем появилась она даже на ютубе, где косила под обычные видео. Ко всему вышеуказанному добавилось еще то, что при использовании гугл-поиска, мне выдавало проверку "Я не робот" на каждый запрос.
Я несколько дней пытался выяснить, что же это за напасть, и как от нее избавиться. Советы были в духе "надо удалить расширение "Блокировать рекламу Ютуб" - и все заработает как прежде". Я был бы рад так поступить, но такого расширения у меня не стояло. Удаление/отключение других расширений эффекта не возымело.
В итоге я просто сбросил настройки Мозиллы - и все наладилось.
Проблема в том, что пока я искал решение, я также прокидывал систему через CureIt и AVZ - первый что-то нашел, что-то вылечил, но проблема оставалась нерешенной. Второй же вывел мне два "подозрительных файла" на мой суд. Одним из которых и был "WINHTTP.DLL". Я про файл загуглил - мне не выдало ничего из раздряда "файл очень важен для системы - ни в коем случае не удалять!" - скорее, наоборот. Ну я и удалил.
Теперь при запуске виндоус у меня выбивает ошибку (вроде как от фотошопа) "Запуск приложения невозможен, т.к. отсутствует WINHTTP.DLL" Также начал тупить "Пуск" - при нажатие открывается дольше обычного, плюс иногда при нажатие в "пуске" на "проводник" - "проводник" тупо виснет. Также крашится MS Office без объяснения причины. Некоторые исполняемые файлы не запускаются по причине "отсутствует WINHTTP.DLL". Адъ и Израиль какой-то.
Я прошерстил сайты в поисках ответа - кроме левых прокладок с вставленными словами, которые ты ищешь. и рекламой своих говно-лечилок. ничего не нашлось. Хотел скачать эту dll и вставить в Windows - те, что нашел эффекта не возымели. Вставлял их в SYSWOW64. Под десятую винду я их найти не смог. Бэкапы не делал - восстановить к предыдущей точки не получится. Пробовал сканировать через /ScanHealth /RestoreHealth - ошибки находит, восстановлению подлежит, но /RestoreHealth висит на 40% выполнения часами без движения. Решение ЭТОЙ проблемы тоже хрен найдешь.
Может какой добрый человек скинет на файлообменник свою winhttp от десятой винды Pro? Или еще не факт, что он ко мне подойдет? Регистрировать dll через regsrv32 пробовал - выдает стандартную ошибку.
Неужто из-за такой мелочи придется винду сносить?
Если это был именно виндовый файл, то нужно просто восстановить его стандартным способом - запустив проверку системных файлов, в командной строке от администратора - sfc /scannow
Если же это подменённый файл (заменена одна буква, как часто маскируются зловреды), то просто удалить его из автозагрузки, делается это, например утилитой Autoruns x86 или Autoruns x64
Видимо, это все такие не вирус, раз система поломалась после его удаления.
Посмотрел через Autoruns - winhttp вообще не видит.
Scannow вчера делал - проблема осталась. Сейчас сделаю еще раз.
MamaLuyba, а вот совсем и не факт, если в автозагрузке был исполняемый файл (DLL-библиотека) настоящего зловреда и автозапуск был организован точно тем же методом, то часто именно так это и проявляется. Но, возможно, ты удалил не зловредный, а оригинальный файл. Я и сам однажды совершил такую оплошность, не заметил разницу в букве, которая в обоих алфавитах выглядит одинаково, хотя и знал про это, но торопился и вот результат :).
Правда мне было проще, в начале отключаю запись через Autoruns, не удаляя ни её ни файл, а уже после перезагрузки смотрю на результат, поэтому включил правильную запись назад и отключил зловредную.
Тебе же ещё проще, ты не удалил саму запись, именно потому и видишь окно с ошибкой, так как Винда загрузить пытается, а нечего. Восстановив файл в исходное расположение - вылечишь. Можно даже вручную его выдрать из образа винды и положить на место. Можно восстановиться на точку отката, можно через "предыдущие версии"... если всё это не отключено.
Ezhyg, увы, никаких точек для отката нет.
А как с образа винды выдрать? Надо образ скачивать? У меня-то винда до десятки сама обновлялась - дистрибутивов нет.
Scannow выдает: "Программа защиты ресурсов Windows обнаружила поврежденные файлы, но не
может восстановить некоторые из них. Подробные сведения см. в файле CBS.Log, кот
орый находится по следующему пути: windir\Logs\CBS\CBS.log. Например,
C:\Windows\Logs\CBS\CBS.log. Обратите внимание, что ведение журнала
в настоящее время не поддерживается для автономного обслуживания."
Никакого CBS.log в папке не обнаружено.
MamaLuyba, не надо, настоящий файл находится где-то в недрах WinSXS, а в остальных местах на него жёсткие ссылки, одну из которых ты и удалил :).
Можешь сам запусти ОС в безопасном режиме (без поддержки сети), там как раз не будет грузиться этот файл и ошибки не будет, там запусти поиск, он тебе найдёт нужные файлы, создай из консоли жёсткую ссылку в нужной папке (System32) главное разрядность не перепутай ;)
Ezhyg, мил человек, а не подскажешь - как это все точно сделать?
Я сейчас зашел в WinSXS - там есть несколько winhttp.dll - какой мне из них нужен?
Как жесткую ссылку прописать? А то я в таких делах нубо, а в интернете про символические ссылки пишут.
Ezhyg, загрузился в безопасном режиме, вбил команду mklink - выбило "отказано в доступе".
Но, видимо, вмешалось божественное провидение, ибо после перезагрузки проблема исчезла - офис заработал и ошибок не выбивает.
Сохранил оба файла из syswow64 и system32 себе вконтакт от греха.
Огромное спасибо за участие!
Простой