Слетает uBlock, невозможно удалить расширение SmartAdv for Google Chrome. [not-a-virus:HEUR:Downloader.Win32.LMN.gen, Trojan.Win32.ExtenBro.cgs ]

Здравствуйте.
Поймала вирус, теперь после каждой перезагрузки компьютера слетает uBlock ("Веб-страница не найдена") и восстанавливается ранее удалённое приложение "SmartAdv for Google Chrome".
Прошу о помощи.

Уважаемый(ая) [B]zero_q[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','');
QuarantineFile('c:\programdata\{5d8aed24-fb78-198b-5d8a-aed24fb7b493}\6658153483201130238e.exe','');
QuarantineFile('c:\programdata\{c6861030-ca44-2211-c686-61030ca440c3}\7442937573961557165e.exe','');
QuarantineFile('C:\Users\Владимир\AppData\Roaming\newSI_21\s_inst.exe','');
QuarantineFile('C:\Users\Владимир\AppData\Roaming\newSI_1799\s_inst.exe','');
QuarantineFile('C:\Users\Владимир\AppData\Roaming\newSI_1599\s_inst.exe','');
QuarantineFile('C:\Users\18EE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\programdata\{3d72f9f6-daae-f6ca-3d72-2f9f6daae7db}\hqghumeaylnlf.exe','');
QuarantineFile('C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll','');
DelBHO('{D4EF7D75-52C9-4BCE-B6DC-0976EFAB4B0B}');
QuarantineFile('C:\Users\Владимир\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}w64');
DeleteService('{55685567-4840-4a91-962b-49a412e9485a}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','');
QuarantineFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys','32');
DeleteFile('C:\Windows\system32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','AnyProtect Tray');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
DeleteFile('C:\Program Files (x86)\baidu\baidu.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
DeleteFile('C:\Users\Владимир\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
DeleteFile('C:\Program Files (x86)\metaCrawler\1.8.19.0\bh\metacrawler.dll','32');
DeleteFile('C:\Windows\Tasks\Bidaily Synchronize Task[8da6].job','64');
DeleteFile('c:\programdata\{3d72f9f6-daae-f6ca-3d72-2f9f6daae7db}\hqghumeaylnlf.exe','32');
DeleteFile('C:\Users\18EE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\18EE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\18EE~1\AppData\Roaming\METACR~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Users\Владимир\AppData\Roaming\newSI_1599\s_inst.exe','32');
DeleteFile('C:\Users\Владимир\AppData\Roaming\newSI_1799\s_inst.exe','32');
DeleteFile('C:\Users\Владимир\AppData\Roaming\newSI_21\s_inst.exe','32');
DeleteFile('c:\programdata\{c6861030-ca44-2211-c686-61030ca440c3}\7442937573961557165e.exe','32');
DeleteFile('C:\Windows\Tasks\SpaceKeeper.job','64');
DeleteFile('C:\Windows\Tasks\newSI_21.job','64');
DeleteFile('C:\Windows\Tasks\newSI_1799.job','64');
DeleteFile('C:\Windows\Tasks\newSI_1599.job','64');
DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
DeleteFile('C:\Windows\Tasks\DSite.job','64');
DeleteFile('C:\Windows\Tasks\Digital Sites.job','64');
DeleteFile('C:\Windows\system32\Tasks\Bidaily Synchronize Task[8da6]','64');
DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SafeBrowser','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_1599','64');
DeleteFile('C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SpyHunter4Startup','64');
DeleteFile('C:\Users\Владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

Обновите базы AVZ

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Есть.

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Готово.

Удалите в МВАМ все найденное

Готово.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Есть.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
Task: {062AF048-DCF6-4E48-BA9D-AFFFDCD0C672} - \extsetup No Task File <==== ATTENTION
Task: {11CCBAFE-E2EE-49D6-8399-3E74C4A74861} - \BitGuard No Task File <==== ATTENTION
Task: {34278F07-FCBB-4E65-920A-7250023C1AE9} - \DealPly No Task File <==== ATTENTION
Task: {3BD556B8-AE31-4024-A951-D113D1D08004} - \KRB Updater Utility No Task File <==== ATTENTION
Task: {4C8EF29F-2D9C-40E9-AAEC-C013F7CE816D} - \Microsoft\Windows\SafeBrowser No Task File <==== ATTENTION
Task: {7ECBB6B3-9817-4DF2-9C99-663A7B8AD971} - \UpdateAdmin No Task File <==== ATTENTION
Task: {D06A0769-85DD-4392-8398-06C81FB10784} - \Microsoft\Windows\extsetup No Task File <==== ATTENTION
Task: {E0F0430B-11B8-40AA-B01C-12378F8220E5} - \VoiceDetector No Task File <==== ATTENTION
Task: {E232CE52-B4D1-4969-B233-105B443A21E5} - \SpyHunter4Startup No Task File <==== ATTENTION
Task: {F340D04D-F974-46A9-966B-77FAD9AA2952} - \EPUpdater No Task File <==== ATTENTION
FirewallRules: [{082CBA69-ABB9-4C17-B69C-19E03EEC4B14}] => (Allow) C:\Users\Владимир\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{F747D751-7993-4BBC-ACD3-2FFD994E08BF}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer.exe
FirewallRules: [{2C6C6024-BECD-49C4-98B6-F785234CA224}] => (Allow) C:\Users\Владимир\AppData\Roaming\IQIYI Video\LStyle\QyUpdate.exe
FirewallRules: [{4186C6A0-FD5F-48B0-B76C-5A993E39EE15}] => (Allow) C:\IQIYI Video\LStyle\QyClient.exe
FirewallRules: [{57CDB0B2-31EC-4348-85DB-8E763D4FAEEB}] => (Allow) C:\IQIYI Video\LStyle\QyWebPlayer.exe
FirewallRules: [{17ED8840-51A2-4C34-9B89-7471976F07CE}] => (Allow) C:\IQIYI Video\Common\QyKernel.exe
FirewallRules: [{83E49B1A-B826-4CFA-B0D7-7F7395205A4E}] => (Allow) C:\IQIYI Video\LStyle\QyPlayer.exe
FirewallRules: [{5874A188-4799-43FF-AA8D-7CDCA603E5C0}] => (Allow) C:\Users\Владимир\AppData\Roaming\IQIYI Video\LStyle\GpUpdate.exe
FirewallRules: [{AE740749-85F2-4AAE-A9C9-68E893D07856}] => (Allow) C:\IQIYI Video\GeePlayer\GeePlayer\GeePlayer.exe
SSODL: IconPackager Repair - {1799460C-0BC8-4865-B9DF-4A36CD703FF0} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir=
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir=
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir=
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://i.search.metacrawler.com/results.php?f=4&q={searchTerms}&a=orgnl&cd=2XzuyEtN2Y1L1QzuyBzzzzyEtA0C0F0D0E0D0ByC0EyDtD0CtN0D0Tzu0CyDyDtCtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu&cr=1971665045&ir=
SearchScopes: HKU\S-1-5-21-30179338-458707370-232559643-1000 -> Yandex URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=290412_4_crm&babsrc=SP_ss&mntrId=56f3e50c0000000000006427379f5939
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF Plugin-x32: @iqiyi.com/npWebPlayer -> C:\IQIYI Video\LStyle\npWebPlayer.dll No File
OPR Extension: (Smart Browser™) - C:\Users\Владимир\AppData\Roaming\Opera Software\Opera Stable\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2015-07-30]
OPR Extension: (Smart Browser™) - C:\Users\Владимир\AppData\Roaming\Opera Software\Opera Stable\Extensions\iblenkmcolcdonmlfknbpbgjebabcoae [2015-07-26]
2015-07-24 12:05 - 2015-07-30 19:58 - 00000000 ____D C:\Users\Владимир\AppData\Local\Kometa
2015-07-24 12:05 - 2015-07-24 12:09 - 00000000 ____D C:\Users\Все пользователи\KRB Updater Utility
2015-07-24 12:05 - 2015-07-24 12:09 - 00000000 ____D C:\ProgramData\KRB Updater Utility
2015-07-24 12:05 - 2015-07-24 12:06 - 00000000 ____D C:\Program Files (x86)\Kinoroom Browser
2015-07-24 12:05 - 2015-07-24 12:05 - 00001978 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kinoroom Browser.lnk
2015-07-22 18:04 - 2015-08-02 12:04 - 00000360 _____ C:\Windows\Tasks\VoiceDetector.job
2015-07-13 13:06 - 2015-07-13 13:06 - 00000000 ____D C:\Users\Public\QiYi
2015-07-13 13:04 - 2015-07-13 13:43 - 00000000 ____D C:\Users\Владимир\AppData\Roaming\cpuminer
2015-08-02 11:27 - 2013-09-14 13:03 - 00000000 ____D C:\Users\Все пользователи\BitGuard
2015-08-02 11:27 - 2013-09-14 13:03 - 00000000 ____D C:\ProgramData\BitGuard
2015-08-02 11:27 - 2013-06-03 20:26 - 00000000 ____D C:\Users\Владимир\AppData\Roaming\BabSolution
2015-08-02 11:27 - 2013-06-03 20:25 - 00000000 ____D C:\Users\Владимир\AppData\Roaming\DSite
2015-04-20 10:49 - 2015-04-20 10:49 - 0000042 _____ () C:\Users\Владимир\AppData\Roaming\3B94BC79971
C:\Users\Владимир\AppData\Local\Temp\lvbQgkuhaSxT.exe
Reboot:
[/code]
[list][*]Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Есть.

Проблема решена?

Да, спасибо.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\metacrawler\1.8.19.0\bh\metacrawler.dll - [B]not-a-virus:WebToolbar.Win32.Montiera.ax[/B][*] c:\programdata\{3d72f9f6-daae-f6ca-3d72-2f9f6daae7db}\hqghumeaylnlf.exe - [B]not-a-virus:RiskTool.Win32.OptimizerPro.e[/B] ( DrWEB: Program.Unwanted.274 )[*] c:\users\владимир\appdata\roaming\mediahit\shadow\mediahit.update\mediahit.update.process.exe - [B]not-a-virus:HEUR:Downloader.Win32.LMN.gen[/B] ( DrWEB: Adware.Downware.6450 )[/LIST][/LIST]