После перезагрузки ОС удаляется Ublock из chrome и появляется BoySafe

**Илья Костерев** · 14.07.2016, 07:07

Здравствуйте собственно проблема в заголовке, помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.07.2016, 07:08

Уважаемый(ая) Илья Костерев, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 14.07.2016, 07:21

Уведомление

Не нужно прикреплять virusinfo_autoquarantine.zip к теме

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFileF('c:\programdata\microsoft\adobe\flash player\157b5975-3db1-49ce-8ddd-4c577fcd457f', '*', true, '', 0 , 0);
 QuarantineFile('C:\Program Files (x86)\IObit\IObit', '');
 QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\157B5975-3DB1-49CE-8DDD-4C577FCD457F\4CFAA82C-D0CF-41D9-AA65-69C30983CA64.exe', '');
 QuarantineFile('C:\Program Files (x86)\IObit\Driver', '');
 QuarantineFile('C:\Users\xsand\AppData\Local\Microsoft\FA439F5759107EC4436B7280B0D31969\40A5008C595CC40CCC013D3482DF2FD1.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\Uninstaller_SkipUac_xsand.job', '64');
 DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\157B5975-3DB1-49CE-8DDD-4C577FCD457F\4CFAA82C-D0CF-41D9-AA65-69C30983CA64.exe', '32');
 DeleteFile('C:\Users\xsand\AppData\Local\Microsoft\FA439F5759107EC4436B7280B0D31969\40A5008C595CC40CCC013D3482DF2FD1.exe', '32');
 DeleteFileMask('c:\program files (x86)\iobit', '*', true);
 DeleteFileMask('c:\users\xsand\appdata\local\microsoft\fa439f5759107ec4436b7280b0d31969', '*', true);
 DeleteDirectory('c:\program files (x86)\iobit');
 DeleteDirectory('c:\users\xsand\appdata\local\microsoft\fa439f5759107ec4436b7280b0d31969');
 ExecuteFile('schtasks.exe', '/delete /TN "DelayedItemsByChemtableSoftware\157B5975-3DB1-49CE-8DDD-4C577FCD457F" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Driver Booster SkipUAC (xsand)" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\DF2FD12843D310CCC04CC595C840A500" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\DF2FD12843D310CCC04CC595C840A500SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A157B5975-3DB1-49CE-8DDD-4C577FCD457F" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\DF2FD12843D310CCC04CC595C840A500" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\DF2FD12843D310CCC04CC595C840A500SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_xsand" /F', 0, 15000, true);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

**Илья Костерев** · 14.07.2016, 18:24

Скрипт проделал, логи прикрепляю.

После троечки перезагрузок ublock на месте, а вот непонятное расширение хрома BoySafe всегда заново появляется. Описание "Просмотр и изменение ваших данных на посещаемых сайтах" немного напрягает, можно ли что то с ним сделать?
Заранее, большое спасибо за уже оказанную помощь!

**Vvvyg** · 14.07.2016, 19:53

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Илья Костерев** · 14.07.2016, 20:50

Прикрепляю логи.

**Vvvyg** · 14.07.2016, 21:18

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR Extension: (BoySafe) - C:\Program Files (x86)\Common Files\{458739D2-800B-56C9-7438-9EFFC246672B} [2016-07-12]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-583673131-1185099439-1876126616-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-583673131-1185099439-1876126616-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gebpdbfmpedcnopofelmhndhincfkhki] - hxxps://chrome.google.com/webstore/detail/gebpdbfmpedcnopofelmhndhincfkhki
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
2016-07-11 20:34 - 2016-07-12 06:48 - 00000000 ____D C:\Users\xsand\AppData\Local\Поиcк в Интeрнете
2016-07-12 06:35 - 2016-07-12 06:35 - 0000124 ___SH () C:\Program Files (x86)\Common Files\SBEXTS
Task: {3C5095DE-89BE-4BD8-AA15-685165F5E028} - \Realtek HD Audio -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Илья Костерев** · 14.07.2016, 21:35

После перезагрузки полет нормальный, ярлык chrome ругался на отсутствие какого то манифеста(где был boysafe). Создал новый - всё ок!
Лог прицепил. Большое спасибо! Таких ребят можно и поддержать рублем.

**Vvvyg** · 14.07.2016, 21:38

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 14.07.2016, 21:48

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

После перезагрузки ОС удаляется Ublock из chrome и появляется BoySafe (заявка № 202138)

Опции темы