Вирус удаляет расширения из Chrome и устанавливает программы [not-a-virus:AdWare.Win32.Agent.jzjz ]

[Grisha_ya]

После перезагрузки компьютера пропадают расширения adblock, появляются какие-то другие. Раньше появлялись еще ярлыки на рабочем столе типа "aliexpress" или онлайн игры какие-нибудь. Помогите пожалуйста!

[Info_bot]

Уважаемый(ая) Grisha_ya, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

- сделайте лог Check Browsers' LNK by Dragokas & regist.

Внимание !!! База поcледний раз обновлялась 01.03.2016 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.46.

Пожалуйста, обновите базы и сделайте новые логи.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

[Grisha_ya]

Вот, все сделал

http://virusinfo.info/virusdetector/...54964823C0D453

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\users\григорий\appdata\local\adobe\ppapi\0fee618f-7d53-4d3d-9e03-4b621bfaf00d', '*', true, '', 0 , 0);
 QuarantineFileF('c:\users\григорий\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
 QuarantineFile('C:\Users\Григорий\Favorites\Links\Интернет.url', '');
 QuarantineFileF('C:\Program Files (x86)\Common Files\{C9C06A96-73D0-7546-2E4F-291F7C618B25}', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Users\Григорий\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Users\Григорий\AppData\Local\Adobe\PPAPI\0FEE618F-7D53-4D3D-9E03-4B621BFAF00D\55E8BD56-6BB8-4838-B7A2-6C5AA770C7BE.exe', '');
 DeleteFile('C:\Users\Григорий\Favorites\Links\Интернет.url');
 DeleteFile('C:\Users\Григорий\AppData\Local\Adobe\PPAPI\0FEE618F-7D53-4D3D-9E03-4B621BFAF00D\55E8BD56-6BB8-4838-B7A2-6C5AA770C7BE.exe', '32');
 DeleteFile('C:\Users\Григорий\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\extsetup', '64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\SafeBrowser', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetup" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "\Microsoft\SafeBrowser" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "\Microsoft\Windows\A0FEE618F-7D53-4D3D-9E03-4B621BFAF00D" /F', 0, 15000, true);
 DeleteService('xutalgun');
 DeleteService('ujafltxj');
 DeleteService('rxxjzcjb');
 DeleteService('rmxszgwe');
 DeleteService('lrjalcvg');
 DeleteFileMask('c:\users\григорий\appdata\local\microsoft\extensions', '*', true);
 DeleteFileMask('C:\Program Files (x86)\Common Files\{C9C06A96-73D0-7546-2E4F-291F7C618B25}', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Common Files\{C9C06A96-73D0-7546-2E4F-291F7C618B25}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '0FEE618F-7D53-4D3D-9E03-4B621BFAF00D');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Смените браузер по умолчанию (потом можете сменить его обратно на свой любимый).

Код:

C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk

Эти ярлыки вам знакомы?

[Grisha_ya]

Результат загрузки:
Файл сохранён как 160621_130727_quarantine_576911df1a487.zip
Размер файла 2147463
MD5 b8d837acb4cc081c5d77eeb9302f7f2f

Перечисленные вами ярлыки как раз и установились сами собой.

После перезагрузки пока все спокойно.
Спасибо Вам большое за помощь.

[regist]

Перечисленные вами ярлыки как раз и установились сами собой.

Удалите их вручную, либо можете просто вставить на исправление в ClearLNK.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Grisha_ya]

Ярлыки удалил. Файлы прикрепил
Спасибо большое, что помогаете!

[regist]

Код:

CHR Profile: C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default
CHR Extension: (Google Презентации) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-06-18]
CHR Extension: (Диск Google) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-06-18]
CHR Extension: (Google Sheets) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-06-19]
CHR Extension: (YouTube) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-06-18]
CHR Extension: (Adblock Plus) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-06-21]
CHR Extension: (Google Docs) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2016-06-19]
CHR Extension: (Fruumo Download Manager) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekmbkhodcdnafhomcpbfgimkglaohmil [2016-06-18]
CHR Extension: (Google*Документы офлайн) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-06-18]
CHR Extension: (AdBlock) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-06-21]
CHR Extension: (Unlimited Free VPN - Hola) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio [2016-06-18]
CHR Extension: (Speed Dial [FVD] - New Tab Page, 3D, Sync...) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\llaficoajjainaijghjlofdfmbjpebpa [2016-06-25]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-06-18]
CHR Extension: (Gmail) - C:\Users\Григорий\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-06-18]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2016-06-18]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2016-06-18]

Эти расширения вам знакомы? В частности "Adblock Plus" знаком? Сами ставили?
Расширение от Hola также советую удалить. Они ваш трафик перепродают.

Код:

Opera: 
=======
OPR Extension: (Smart Browser™) - C:\Users\Григорий\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg [2016-06-19]
OPR Extension: (WebTab) - C:\Users\Григорий\AppData\Roaming\Opera Software\Opera Stable\Extensions\gamgcdlfhmmigjmbffodgkpglbnejkjm [2016-06-20]

Smart Browser™ понятно, что не знаком. А второе расширение вам знакомо?

[Grisha_ya]

Adblock Plus,
Fruumo Download Manager,
AdBlock
Unlimited Free VPN - Hola,
Speed Dial

Ставил сам. Остальные не знаю. Ну google это стандартные в google chrome наверное.

Расширения из второго списка не знакомы. Да и вообще я оперу не устанавливал сам.

[regist]

Код:

C:\Users\Григорий\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg 
C:\Users\Григорий\AppData\Roaming\Opera Software\Opera Stable\Extensions\gamgcdlfhmmigjmbffodgkpglbnejkjm

закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) ссылку на скачивание пришлите мне в ЛС.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
BHO-x32: No Name -> {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} -> No File
OPR Extension: (Smart Browser™) - C:\Users\Григорий\AppData\Roaming\Opera Software\Opera Stable\Extensions\aeajehgeohhgjbhhbicilpenjfcbfnpg [2016-06-19]
OPR Extension: (WebTab) - C:\Users\Григорий\AppData\Roaming\Opera Software\Opera Stable\Extensions\gamgcdlfhmmigjmbffodgkpglbnejkjm [2016-06-20]
Task: {3FD16923-AC05-4285-9140-574C03C13501} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {D3300FC4-8114-4239-AF19-B8477C52DE26} - \Microsoft\KRBUUS\KRBLNKRUN -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\григорий\appdata\local\microsoft\extensio ns\trz3ad6.tmp - not-a-virus:AdWare.Win32.Agent.jzjz