Устанавливаются посторонние расширения в браузере [not-a-virus:AdWare.Win32.ExtBro.g ]

Printable View

06.08.2016, 15:29
afew

Вложений: 3

Устанавливаются посторонние расширения в браузере [not-a-virus:AdWare.Win32.ExtBro.g ]

Удаляется adblock в браузере и сами устанавливаются посторонние расширения каждый раз после перезагрузки компьютера.
06.08.2016, 15:31
Info_bot

Уважаемый(ая) [B]afew[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
06.08.2016, 17:05
regist

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('c:\programdata\microsoft\macromed\flash player\19fe0fdb-e3ab-4690-9a55-1fafb6c5f722', '*', true, '', 0 , 0);
QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\19FE0FDB-E3AB-4690-9A55-1FAFB6C5F722\A8C32FF4-D077-461C-977F-6A724F162AFE.exe', '');
QuarantineFile('C:\ProgramData\ejcbVzGIs\crfLUbEdH5.bat', '');
QuarantineFileF('C:\Users\Юра\AppData\Local\Microsoft\65DCE8494A491ABD0DB712D9036190CB\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\Users\Юра\AppData\Local\Microsoft\65DCE8494A491ABD0DB712D9036190CB\103F72A3AA9B5CEB6D41FCF3895EF3C7.exe', '');
QuarantineFile('C:\PROGRA~2\a983f226\aec52fb8.dll', '');
QuarantineFileF('c:\programdata\ejcbvzgis\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\PROGRA~2\a983f226\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('c:\users\юра\appdata\local\temp\61133F67-AC2C6343-18ADB077-CD43FA22\5794bcc9.sys', '');
DeleteFile('C:\Users\Юра\AppData\Local\Microsoft\65DCE8494A491ABD0DB712D9036190CB\103F72A3AA9B5CEB6D41FCF3895EF3C7.exe');
DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\19FE0FDB-E3AB-4690-9A55-1FAFB6C5F722\A8C32FF4-D077-461C-977F-6A724F162AFE.exe', '32');
DeleteFile('C:\ProgramData\ejcbVzGIs\crfLUbEdH5.bat', '32');
DeleteFile('C:\Users\Юра\AppData\Local\Microsoft\65DCE8494A491ABD0DB712D9036190CB\103F72A3AA9B5CEB6D41FCF3895EF3C7.exe', '32');
DeleteFile('C:\PROGRA~2\a983f226\aec52fb8.dll', '32');
DeleteFile('c:\users\юра\appdata\local\temp\61133F67-AC2C6343-18ADB077-CD43FA22\5794bcc9.sys', '32');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\5EF3C7983FCF14D6BEC5B9AA3A103F72" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\5EF3C7983FCF14D6BEC5B9AA3A103F72SB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\5EF3C7983FCF14D6BEC5B9AA3A103F72" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\5EF3C7983FCF14D6BEC5B9AA3A103F72SB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A19FE0FDB-E3AB-4690-9A55-1FAFB6C5F722" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{E24D1CF5-7832-98D4-A5F2-211DA2AC4A31}" /F', 0, 15000, true);
DeleteFileMask('c:\programdata\ejcbvzgis\', '*', true);
DeleteDirectory('c:\programdata\ejcbvzgis\');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '5EF3C7983FCF14D6BEC5B9AA3A103F72SB');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', '19FE0FDB-E3AB-4690-9A55-1FAFB6C5F722');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]
06.08.2016, 20:55
afew

Вложений: 1

Сделал
[URL="http://virusinfo.info/virusdetector/report.php?md5=F912FE9833F8735AEE9214F4307BA19B"]http://virusinfo.info/virusdetector/report.php?md5=F912FE9833F8735AEE9214F4307BA19B[/URL]
06.08.2016, 20:56
regist

Браузер Амиго сами ставили?
06.08.2016, 22:41
afew

Нет конечно
06.08.2016, 23:27
regist

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Настройки[/b] отметьте:
[list][*]Сброс политик IE[*]Сброс политик Chrome[/list][*]Нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончанию сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].
07.08.2016, 13:59
afew

Вложений: 1

Adblock работает, появление левых расширений в хроме осталось
07.08.2016, 14:38
regist

[quote="afew;1396679"]AdwCleaner[S7].txt[/quote]
Перечитайте внимательно, что я просил сделать и прикрепите нужный лог.

[quote="afew;1396679"]появление левых расширений в хроме осталось[/quote]укажите каких именно?
07.08.2016, 18:46
afew

Вложений: 1

Расширения разные, в данный момент установилось с названием insync
07.08.2016, 19:32
regist

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
07.08.2016, 20:36
afew

Вложений: 3

сделал
07.08.2016, 20:44
regist

Я правильно понимаю, расширения
[CODE]OPR Extension: (BoxMaster) - C:\Users\Юра\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-08-06]
OPR Extension: (Новости) - C:\Users\Юра\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl [2016-07-27][/CODE]
вам тоже не знакомы?

Папки
[CODE]C:\Program Files\Common Files\{DEE7D3D6-8A50-9D5B-E7FA-D83F9D6EF6CF}
C:\Users\Юра\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke
C:\Users\Юра\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb
C:\Users\Юра\AppData\Roaming\Opera Software\Opera Stable\Extensions\jolakggdcbngpflcjfaencffnenhlddl
[/CODE]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR], закачайте архив на любой файлообменник, не требующий ввода капчи (например: [url=http://www.zippyshare.com/]Zippyshare[/url], [url=http://my-files.ru/]My-Files.RU[/url]) ссылку на скачивание пришлите мне в ЛС.

- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].
07.08.2016, 21:58
afew

Вложений: 1

Да незнакомы, отправил
07.08.2016, 22:25
regist

Эти ярлыки вам знакомы?
[CODE]C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
[/CODE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

1) Закройте все программы, [url=http://virusinfo.info/showthread.php?t=130828][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
ClearQuarantine;
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Forge of Empires.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk', '');
QuarantineFile('C:\Users\Юра\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome - Ярлык.lnk', '');
QuarantineFile('C:\Users\Юра\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Tor Browser.lnk', '');
QuarantineFile('C:\Users\Юра\Desktop\Start Tor Browser.lnk', '');
QuarantineFile('C:\Users\Юра\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk', '');
QuarantineFile('C:\ProgramData\HzfiMT\hFHsyTpG4.bat', '');
QuarantineFile('C:\ProgramData\ejcbVzGIs\crfLUbEdH5.bat', '');
QuarantineFileF('C:\ProgramData\HzfiMT', '*', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\ejcbVzGIs', '*', true, '', 0, 0);
DeleteFile('C:\ProgramData\HzfiMT\hFHsyTpG4.bat', '');
DeleteFile('C:\ProgramData\ejcbVzGIs\crfLUbEdH5.bat', '');
DeleteFileMask('C:\ProgramData\HzfiMT', '*', true);
DeleteFileMask('C:\ProgramData\ejcbVzGIs', '*', true);
DeleteDirectory('C:\ProgramData\HzfiMT');
DeleteDirectory('C:\ProgramData\ejcbVzGIs');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
[/CODE]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

2) - Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

3) Смените браузер по умолчанию (потом можете сменить его обратно).

4) Сделайте свежие логи FRST.
07.08.2016, 22:35
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\microsoft\macromed\flash player\19fe0fdb-e3ab-4690-9a55-1fafb6c5f722\a8c32ff4-d077-461c-977f-6a724f162afe.exe - [B]Trojan.NSIS.ExtenBro.a[/B][*] c:\users\юра\appdata\local\microsoft\65dce8494a491abd0db712d9036190cb\103f72a3aa9b5ceb6d41fcf3895ef3c7.exe - [B]not-a-virus:AdWare.Win32.ExtBro.g[/B][/LIST][/LIST]