Удаляется все блокираторы рекламы (адблок, аддгвард) после перезагрузки компьютера [not-a-virus:AdWare.Win32.ExtBro.g ]

Добрый день, удаляются любые программы и расширения, блокирующие рекламу в Хромме, при перезагрузке компьютера. Заранее спасибо за помощь.

Уважаемый(ая) [B]Влад Фарвозов[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE][B][COLOR=Navy]Внимание !!![/COLOR][/B] База поcледний раз обновлялась 01.03.2016 [B]необходимо обновить базы[/B] при помощи автоматического обновления (Файл/Обновление баз). Протокол антивирусной утилиты AVZ версии 4.46.[/QUOTE]
Пожалуйста, обновите базы и сделайте новые логи.

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

MD5 карантина: FFB408CE5753A22E5ECC643C89E0937F

жду остальное.

новые логи

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Home\AppData\Local\Temp\HYD213.tmp.1452275869\HTA\index.hta?utorrent', '');
QuarantineFile('C:\Users\Home\AppData\Local\Temp\HYD213.tmp.1452275869\index.hta.log', '');
QuarantineFile('C:\Users\Home\AppData\Local\Microsoft\2B9F06DA0AF689A6F7A070F7AF5051C7\0B856FEA9A19B3E0A8B4A5658E3FE89D.exe', '');
QuarantineFileF('C:\Users\Home\AppData\Local\Microsoft\2B9F06DA0AF689A6F7A070F7AF5051C7\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
DeleteFile('C:\Users\Home\AppData\Local\Temp\HYD213.tmp.1452275869\HTA\index.hta?utorrent', '32');
DeleteFile('C:\Users\Home\AppData\Local\Temp\HYD213.tmp.1452275869\index.hta.log', '32');
DeleteFile('C:\Users\Home\AppData\Local\Microsoft\2B9F06DA0AF689A6F7A070F7AF5051C7\0B856FEA9A19B3E0A8B4A5658E3FE89D.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\3FE89DE8565A4B8A0E3B91A9AE0B856F" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\3FE89DE8565A4B8A0E3B91A9AE0B856FSB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\3FE89DE8565A4B8A0E3B91A9AE0B856F" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\3FE89DE8565A4B8A0E3B91A9AE0B856FSB" /F', 0, 15000, true);
DeleteFileMask('C:\Users\Home\AppData\Local\Microsoft\2B9F06DA0AF689A6F7A070F7AF5051C7\', '*', true);
DeleteDirectory('C:\Users\Home\AppData\Local\Microsoft\2B9F06DA0AF689A6F7A070F7AF5051C7\');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #1');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

95f7da72ee75c88da87496adfb8e39a3 - md5
и новые логи

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\57259D8A-ADDC-4182-A68B-3D135D5802F3.exe');
QuarantineFileF('C:\Users\Home\AppData\Local\Microsoft\0095174DA75D731B2FAD34212E031D29\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\57259D8A-ADDC-4182-A68B-3D135D5802F3.exe', '');
QuarantineFile('C:\Users\Home\AppData\Local\Microsoft\2B9F06DA0AF689A6F7A070F7AF5051C7\0B856FEA9A19B3E0A8B4A5658E3FE89D.exe', '');
QuarantineFile('C:\Users\Home\AppData\Local\Microsoft\0095174DA75D731B2FAD34212E031D29\45B6A404BF807E97414A467879AFF730.exe', '');
DeleteFile('C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\57259D8A-ADDC-4182-A68B-3D135D5802F3.exe');
DeleteFile('C:\Users\Home\AppData\Local\Microsoft\2B9F06DA0AF689A6F7A070F7AF5051C7\0B856FEA9A19B3E0A8B4A5658E3FE89D.exe');
DeleteFile('C:\Users\Home\AppData\Local\Microsoft\0095174DA75D731B2FAD34212E031D29\45B6A404BF807E97414A467879AFF730.exe');
DeleteFile('C:\Users\Home\AppData\Local\Microsoft\0095174DA75D731B2FAD34212E031D29\45B6A404BF807E97414A467879AFF730.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\AFF730978764A41479E708FB4045B6A4" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\AFF730978764A41479E708FB4045B6A4SB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AFF730978764A41479E708FB4045B6A4" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AFF730978764A41479E708FB4045B6A4SB" /F', 0, 15000, true);
DeleteFileMask('C:\Users\Home\AppData\Local\Microsoft\0095174DA75D731B2FAD34212E031D29\', '*', true);
DeleteDirectory('C:\Users\Home\AppData\Local\Microsoft\0095174DA75D731B2FAD34212E031D29\');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'DFB83ED4-A9AB-49A4-90B5-4D88E03CB043');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '3FE89DE8565A4B8A0E3B91A9AE0B856FSB');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'AFF730978764A41479E708FB4045B6A4SB');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

5a6447dc3c986709fb9de9ef403e68cf md5
логи прикрепил

[URL='http://rgho.st/7kVstP4Qr']сделайте лог HiJackThis 2.0.6 Alpha 3.0[/URL]

вроде выше делал, но вот еще раз

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811013
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk - C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup (2016/08/03)
O22 - ScheduledTask: (Ready) ADFB83ED4-A9AB-49A4-90B5-4D88E03CB043 - \Microsoft\Windows - "C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\57259D8A-ADDC-4182-A68B-3D135D5802F3.exe" --getupdate-ppapi-plugin (file missing)
O22 - ScheduledTask: (Ready) GoogleUpdateTaskMachineCore - {root} - C:\Program Files\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - ScheduledTask: (Ready) GoogleUpdateTaskMachineUA - {root} - C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O23 - Service S2: Служба Google Update (gupdate) - (gupdate) - Microsoft Corporation - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
O23 - Service S3: Служба Google Update (gupdatem) - (gupdatem) - Microsoft Corporation - C:\Program Files\Google\Update\GoogleUpdate.exe (file missing)
[/CODE]

сделайте свежий
[quote="regist;1396738"]лог HiJackThis 2.0.6 Alpha 3.0[/quote]

+ что с проблемой?

новый лог
вроде бы как адблок не удаляется, однако помимо удаления адблока этот вирус устанавливал какие то расширения и программы без ведома, на прошлом шаге они вылезли снова, хотя все удалял, но сейчас ничего нет

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\common files\adobe\ooba\pdapp\ppapi\57259d8a-addc-4182-a68b-3d135d5802f3.exe - [B]Trojan.NSIS.ExtenBro.a[/B][*] c:\users\home\appdata\local\microsoft\2b9f06da0af689a6f7a070f7af5051c7\0b856fea9a19b3e0a8b4a5658e3fe89d.exe - [B]not-a-virus:AdWare.Win32.ExtBro.g[/B][/LIST][/LIST]