Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 50.

extsetup.exe [Trojan.MSIL.Small.fa ] (заявка № 197408)

  1. #1
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3

    Thumbs up extsetup.exe [Trojan.MSIL.Small.fa ]

    Здравствуйте!Каждый раз после перезагрузки системы происходит установка приложения extsetup.exe, после чего в браузере Chrome расширения блокирующее рекламу Adblock Plus, Adguard или Adblock Pro перестают работать, а их иконки выглядит как элемент пазла серого цвета.
    Последний раз редактировалось dhROM; 22.02.2016 в 19:45.

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) dhROM, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Логи сделаны версией 4.43. Скачайте актуальную версию AVZ: 4.45, обновите базы и переделайте логи.

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

  5. #4
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('c:\users\dhrom\appdata\roaming\microsoft\ipoverusbsvrc.exe');
     QuarantineFileF('c:\users\dhrom\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
     QuarantineFile('c:\users\dhrom\appdata\roaming\microsoft\ipoverusbsvrc.exe', '');
     QuarantineFile('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
     DeleteFile('c:\users\dhrom\appdata\roaming\microsoft\ipoverusbsvrc.exe', '32');
     DeleteFile('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "A8C79FE37-48FB-46F9-B599-523871A6582B" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Multimedia Class Scheduler');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Multimedia Class Scheduler', 'command');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(22);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.



    смените все пароли.

  7. #6

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    1) Вы по ошибке загрузили карантин не туда. Надо по ссылке наверху тему. Пожалуйста, загрузите куда надо.

    2) Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFileF('c:\users\dhrom\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
     QuarantineFileF('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     QuarantineFile('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
     QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\8C79FE37-48FB-46F9-B599-523871A6582B\7EDA502C-CC2E-4A14-98CB-F353301FF491.exe', '');
     DeleteFile('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
     DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\8C79FE37-48FB-46F9-B599-523871A6582B\7EDA502C-CC2E-4A14-98CB-F353301FF491.exe', '32');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "A8C79FE37-48FB-46F9-B599-523871A6582B" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
     DeleteFileMask('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\', '*', true);
     DeleteDirectory('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine2.zip');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    3) Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    4)
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Сброс политик IE
      • Сброс политик Chrome
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    5) - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

  9. regist получил(а) благодарность за это сообщение от


  10. #8
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3
    quarantine.zip загрузил.

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Сделайте свежий лог AdwCleaner-а.

    + - Сделайте повторные лог virusinfo_syscheck.zip

  12. #10
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3
    Логи AdwCleaner-а до "очистки" и после

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Здравствуйте!

    Закройте все программы

    Отключите
    - ПК от интернета/локалки.
    - Антивирус и Файрвол

    Выполните скрипт в АВЗ -

    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     QuarantineFileF('c:\users\dhrom\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
     QuarantineFile('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
     DeleteFile('C:\Users\dhROM\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "extsetup" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SafeBrowser" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "A8C79FE37-48FB-46F9-B599-523871A6582B" /F', 0, 15000, true);
     DeleteFileMask('c:\users\dhrom\appdata\local\microsoft\extensions', '*', false);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Сделайте повторный лог virusinfo_syscheck.zip

    - Сделайте лог полного сканирования MBAM.

  14. #12
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3
    quarantine.zip не загружается: Ошибка загрузки. Данный файл уже был загружен.

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    1) - выполните такой скрипт в AVZ
    Код:
    begin
     ClearQuarantineEx(true); 
      QuarantineFileF('C:\Program Files (x86)\Common Files\{2D24676E-3E16-4DC9-B098-9E461B18F1F1}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Program Files (x86)\Common Files\{2D24676E-3E16-4DC9-B098-9E461B18F1F1}', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\{2D24676E-3E16-4DC9-B098-9E461B18F1F1}');
     QuarantineFileF('C:\Users\dhROM\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Users\dhROM\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf\', '*', true);
     DeleteDirectory('C:\Users\dhROM\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\jgpmhnmjbhgkhpbgelalfpplebgfjmbf\');
     QuarantineFileF('C:\Program Files (x86)\Common Files\{46B280ED-78AA-485B-AFCF-FBCD31B106A9}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Program Files (x86)\Common Files\{46B280ED-78AA-485B-AFCF-FBCD31B106A9}', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\{46B280ED-78AA-485B-AFCF-FBCD31B106A9}');
     QuarantineFileF('C:\Program Files (x86)\Common Files\{46B280ED-78AA-485B-AFCF-FBCD31B106A9}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Program Files (x86)\Common Files\{46B280ED-78AA-485B-AFCF-FBCD31B106A9}', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\{46B280ED-78AA-485B-AFCF-FBCD31B106A9}');
     QuarantineFileF('C:\Program Files (x86)\Common Files\{7FC0AC5A-D078-4F33-8C7A-8CDC192D35EA}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Program Files (x86)\Common Files\{7FC0AC5A-D078-4F33-8C7A-8CDC192D35EA}', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\{7FC0AC5A-D078-4F33-8C7A-8CDC192D35EA}');
     QuarantineFileF('C:\Program Files (x86)\Common Files\{918A6F8C-D009-4E90-9742-7A644D3D13C8}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Program Files (x86)\Common Files\{918A6F8C-D009-4E90-9742-7A644D3D13C8}', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\{918A6F8C-D009-4E90-9742-7A644D3D13C8}');
     QuarantineFileF('C:\Program Files (x86)\Common Files\{BB3ED3E1-7FC0-4C6B-B9BB-CC0ECD26CE8A}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
     DeleteFileMask('C:\Program Files (x86)\Common Files\{BB3ED3E1-7FC0-4C6B-B9BB-CC0ECD26CE8A}', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Common Files\{BB3ED3E1-7FC0-4C6B-B9BB-CC0ECD26CE8A}');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    end.
    2) - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы.

    3) - Поместите в карантин MBAM всё найденное.

    4) Сделайте свежий лог сканирования MBAM.

  16. #14
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3
    quarantine.zip по прежнему не загружается.

  17. #15

  18. #16
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3
    extsetup.exe не появляется после рестарта ПК, как было раньше. Adguard держится. Все хорошо. AdwCleaner хотя каждый раз находит:

    ***** [ Запланированные задания ] *****

    Задание Найдено : Microsoft\SafeBrowser
    Задание Найдено : Microsoft\Windows\extsetup
    Задание Найдено : Microsoft\Windows\SafeBrowser

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Цитата Сообщение от dhROM Посмотреть сообщение
    AdwCleaner хотя каждый раз находит:
    Это плохо.

    • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки отметьте:
      • Включить отладочный режим
    • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
    • Прикрепите отчет к своему следующему сообщению

    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    После окончания очистки найдите в папке C:\AdwCleaner файл AdwCleaner_dbg_цифры.log и прикрепите его к сообщению.

    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

  20. #18
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3
    Done:

  21. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    24,560
    Вес репутации
    708
    Выполните скрипт в uVS
    Код:
    ;uVS v3.87 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delall 0HTTPS://CONFIG.ANTICENZ.ORG/PROXY.PAC
    delall %SystemDrive%\USERS\DHROM\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
    delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{7C957114-FB3D-45B2-9DF4-200F6673A539}\0.8
    delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\{7FC0AC5A-D078-4F33-8C7A-8CDC192D35EA}\0.8
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL.RU\RAIDCALL.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL.RU\UNINST.EXE
    delref F:\SETUP.EXE
    restart
    смените все пароли.

    Сделайте свежий образ автозапуска.

  22. #20
    Junior Member Репутация
    Регистрация
    22.02.2016
    Сообщений
    26
    Вес репутации
    3
    ---

  • Уважаемый(ая) dhROM, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 3 123 Последняя

    Похожие темы

    1. При запуске антивирус жалуется на extsetup.exe
      От md3832 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.02.2016, 12:27
    2. Ответов: 10
      Последнее сообщение: 05.11.2015, 22:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00202 seconds with 20 queries