Не могу удалить расширение Хром "Акционные купоны" (ID: balhbiilgifenhadkgpaelhojcdkjndn)
Здравствуйте!
Расширение подменяет ссылки на рекламные. Установилось оно вместе с комплектом программ Mail.ru, когда я скачал шрифт вот с этого сайта: fonts4web.ru - там был exe архив, который при распаковке установил кучу программ. Все эти программы я удалил вручную, а вирусная программа в Хроме осталась. "Акционные купоны" (ID: balhbiilgifenhadkgpaelhojcdkjndn).
Отключить его невозможно, написано "Установлено в соответствии с корпоративным правилом."
Находил по ID папку, удалял, но она восстанавливается. Пытался по ID зачищать записи в реестре, но это тоже не помогает. Запускал adwcleaner_5.032, он находит его, пишет, что удалил, но расширение не удаляется.
Последний раз редактировалось regist; 04.02.2016 в 19:04.
Причина: вирусная ссылка
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Денис Болвинов, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
+ - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
К сожалению не получается загрузить карантинный файл через форму... постоянно сбрасывается связь..
Выложил его на яндекс-диск: https://yadi.sk/d/OSH4mD_hoKCEp
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
daum.net - да, это daum-плеер, корейский проигрыватель видео.
FF Extension:
Поиск@Mail.Ru - это установилось с вирусом
BlueSoleil - по всей видимости от драйвера блютуз, но я его сам не ставил
Download Master - я использую как программу в хроме
CHR Extension:
Акционные купоны. - это вредоносное расширение
Google Search, Платежная система Интернет-магазина Chrome - эти не ставил, но, судя по всему, они встроенные
BlueSoleil - это от драйвера блютуза
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1615470295-1238710437-2371752756-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: No Name - C:\Users\Denis\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [not found]
FF Extension: No Name - C:\Users\Denis\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Denis\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: Поиск@Mail.Ru - C:\Users\Denis\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-01-31]
CHR Extension: (Акционные купоны.) - C:\Users\Denis\AppData\Local\Google\Chrome\User Data\Default\Extensions\balhbiilgifenhadkgpaelhojcdkjndn [2016-02-04]
OPR Extension: (Quick Searcher) - C:\Users\Denis\AppData\Roaming\Opera Software\Opera Stable\Extensions\cagkfnokdfofofnblbpfjnapdojmoffn [2016-01-31]
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.