Расширение хрома

Printable View

17.06.2015, 15:29
Vlad Surkov

Вложений: 3

Расширение хрома

Здравствуйте :3

В общем, такое дело... Читал, было точно такое же, но раз каждый случай уникален, то всё же вкратце расскажу.

Что-то я плохое установил случайно, забыв убрать галочки в установщике - и всё. Каждый раз после перезагрузки компьютера слетают все плагины типа Adblock, добавляется новый (то SA - я скрин прикрепил, - то, вроде, Safe browser). Удаляешь, ставишь заново адблок - и после перезагрузки всё по-новому. Иногда добавляются ненужные папки на панель избранного (бесплатные игры и прочее), иногда Word с первого раза файлы не запускает - что-то устанавливается перед этим (и с хромом также было). Ошибки небольшие появляются, которые просто прокликиваются "Ок" и всё нормально.

Я с помощью CureIt поймал какой-то вирусняк, но через недельку он опять откуда-то взялся :/ Боюсь, что даже переустановка винды не поможет - вдруг он в профиль гугла всё сохраняет?

Вот, такие дела. Файлы, вроде, все прикрепил. Заранее спасибо :Р
17.06.2015, 15:30
Info_bot

Уважаемый(ая) [B]Vlad Surkov[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
17.06.2015, 22:12
thyrex

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
QuarantineFile('C:\Users\Castiel\AppData\Local\Microsoft\Extensions\extsetup.exe','');
DeleteFile('C:\Users\Castiel\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(14);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] над первым сообщением в Вашей теме.

[B][COLOR="Blue"]Сделайте новые логи по правилам[/COLOR][/B]
18.06.2015, 05:38
Vlad Surkov

Вложений: 2

Я, вроде, и раньше по правилам сделал :/
18.06.2015, 08:20
thyrex

[quote="Vlad Surkov;1284134"]Я, вроде, и раньше по правилам сделал :/[/quote]А разве кто-то говорил, что раньше сделали неправильно? И сейчас все сделали правильно. Или Вы не понимаете смысл слова "НОВЫЕ"? :)

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
18.06.2015, 14:56
Vlad Surkov

Вложений: 2

Ну ладно. Значит, я не так додумал :3
18.06.2015, 19:40
thyrex

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
ShortcutTarget: Высокоскоростное подключение 2 - Ярлык (2).lnk -> (No File)
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
ShortcutTarget: Высокоскоростное подключение 2 - Ярлык.lnk -> (No File)
BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Castiel\AppData\Roaming\Opera Software\Opera Stable\Extensions\akimgimeeoiognljlfchpbkpfbmeapkh [2015-06-17]
OPR Extension: (SocialLife Suit for Google Chrome™) - C:\Users\Castiel\AppData\Roaming\Opera Software\Opera Stable\Extensions\mclkkofklkfljcocdinagocijmpgbhab [2015-06-04]
2015-06-02 13:28 - 2015-06-17 11:47 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility
2015-06-02 13:28 - 2015-06-17 11:47 - 00000000 ____D C:\ProgramData\KRB Updater Utility
Task: {1B332446-8C8C-4026-8867-000C9A72E457} - \KRB Updater Utility No Task File <==== ATTENTION
Task: {372482AA-B5D2-406C-9CA5-5C8B36A94831} - \Microsoft\Windows\SafeBrowser No Task File <==== ATTENTION
Task: {474FE5D4-55DF-457D-8724-D6BBA4CFEAEE} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service No Task File <==== ATTENTION
Task: {83B35446-6742-4CD9-9F08-512E0D053F1D} - \extsetup No Task File <==== ATTENTION
Task: {8E48AE1F-B240-480D-924E-46161E0BC294} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {BB2169A0-1541-4F7B-BF63-3239442FDA4D} - System32\Tasks\Microsoft\Windows\ECB663DD-7270-498D-8F92-F889B3B1F062 => C:\Users\Castiel\AppData\Local\Microsoft\Macromed\Flash Player\Updater Startup Utility\51E70A5A-744A-46CD-9883-3A941F48843F.exe <==== ATTENTION
Task: {CFFD27D5-ED85-4C31-9F16-682921786843} - \Safebrowser No Task File <==== ATTENTION
Task: {DD61D1FD-DBC1-4B87-87D0-B59206C888D4} - System32\Tasks\Microsoft\Windows\B8D35000-F4EB-4301-85C1-F2E94664A47E => C:\Program Files (x86)\Common Files\AppDownloads\B8D35000-F4EB-4301-85C1-F2E94664A47E.exe <==== ATTENTION
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
19.06.2015, 05:53
Vlad Surkov

Вложений: 1

Вроде ADB не слетает, но это расширение "SA™ 0.8" всё равно каждый раз появляется после перезагрузки :/
19.06.2015, 07:48
thyrex

Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]
19.06.2015, 11:42
Vlad Surkov

Вложений: 2

Готово.
19.06.2015, 14:22
thyrex

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
C:\Users\Castiel\AppData\Local\Google\Chrome\User Data\Default\Extensions\njomifeadkgmcaiflnfmmhagalogcmcn
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]
19.06.2015, 16:13
Vlad Surkov

Вложений: 1

А, эта папка уже куда-то делась :/ Они постоянно меняются, эти папки с расширениями.
19.06.2015, 22:00
thyrex

Что с проблемой?
20.06.2015, 08:53
Vlad Surkov

Ну я ж говорю - пока всё нормально, но когда я сам неделю назад нашёл эту гадину, она меня потом неделю не беспокоила. Вдруг опять явится. Да и расширение [COLOR=#303942][FONT=Segoe UI]SA™[/FONT][/COLOR][COLOR=#303942][FONT=Segoe UI] [/FONT][/COLOR][COLOR=#73777A][FONT=Segoe UI]0.8[/FONT][/COLOR] каждый раз появляется после перезагрузки, сколько его не удаляй :С Правда, не знаю, что оно делает

upd: Всё, с этим SA я разобрался. Сидел в программных папках. Потом убрал прописку автозагрузки расширения в хром. Вроде больше ничего не осталось. Я вспомнил, собственно, почему всё так сложно вышло: вместо того, чтобы деинсталлировать эти всякие Амиго и вредные расширения, я случайно стёр о них запись в реестре, но без деинсталляции софта. Промахнулся, там рядом эти опции были :/
20.06.2015, 09:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]