Google Chrome Сам устанавливает расширения. [not-a-virus:Downloader.NSIS.Agent.afp ]

Добрый вечер!
Удаляю и перезагружаю комп все по новому устанавливает ненужные расширения
Логи прикрепил

Уважаемый(ая) [B]Андрей Шукало[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Сами прописывали прокси-сервер?[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.196.36.2:80
[/CODE]

HiJackThis [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R3 - URLSearchHook: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file)
O4 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O4 - HKLM\..\Policies\Explorer\Run: [9BB0876B-98B6-412B-90CF-90E000AF7EF1] "C:\Users\Acеr\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9BB0876B-98B6-412B-90CF-90E000AF7EF1\9C716EC2-5809-4143-8413-B5FDD9A2C610.exe" --getupdate-npapi-plugin
O4 - HKLM\..\Policies\Explorer\Run: [extsetupSB] "C:\Users\Acеr\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - (no file)
[/CODE]


AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Users\Acеr\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9BB0876B-98B6-412B-90CF-90E000AF7EF1\9C716EC2-5809-4143-8413-B5FDD9A2C610.exe','');
QuarantineFile('C:\Users\Acеr\AppData\Local\Microsoft\Extensions\extsetup.exe','');
QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetupSB','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A9BB0876B-98B6-412B-90CF-90E000AF7EF1','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetupSB','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup','64');
DeleteFile('C:\Users\Acеr\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9BB0876B-98B6-412B-90CF-90E000AF7EF1\9C716EC2-5809-4143-8413-B5FDD9A2C610.exe','32');
DeleteFile('C:\Users\Acеr\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9BB0876B-98B6-412B-90CF-90E000AF7EF1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

[QUOTE]Сами прописывали прокси-сервер?[/QUOTE]
Нет не прописывал.
Логи прикрепил, карантин отправил.
После фикса пока все еще устанавливаются расширения (Read Web)

[QUOTE=Андрей Шукало;1414034]Нет не прописывал.
[/QUOTE]

HiJackThis [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.196.36.2:80
[/CODE]

[list][*]Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на рабочем столе.[*]Распакуйте архив с утилитой в отдельную папку.[*]Перенесите [B]Check_Browsers_LNK.log[/B] на ClearLNK как показано на рисунке

[img]http://dragokas.com/tools/move.gif[/img]
[*]Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].[*]Прикрепите этот отчет к своему следующему сообщению.[/list]

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

сделано!

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

готово

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [{D62E4F3F-7B9E-4CF1-B746-71A49CDCBF23}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{7C1ADF5F-241C-4723-92AE-33ABCF95B6C6}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{AE32660C-B0A4-40B4-954B-745414AC3368}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{6E0048FC-2844-476C-AFAF-CA5B831A209D}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{D8A36FF6-0513-4E37-9B85-58E80C760A2F}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{5874978F-2CAE-4EEA-A11B-3E294A9197CC}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{A78AF6B9-A4F6-45E3-9FB3-4F3252BF191B}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{71D5C966-2ABF-4D51-B417-5D76C0590FD3}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{1419891E-E658-4F5A-B4ED-8C920ED84788}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{93EAD6B0-CDAE-4908-90B7-AF9B405E5E50}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{A7F43BB3-C75C-4FD5-B096-6664D0FCE1DF}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{57E4FDC6-C595-4341-91AE-316EE4808FA8}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{52477CE6-1B3A-457A-9CDC-54378E93D348}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{84E83FD8-DCB2-4490-A6C9-808D23E786F9}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-10-16]
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-11-13]
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-11-04]
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-08]
Task: {00045811-BEEE-46D1-A7CC-506D5B8F8012} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {0C83ED76-168A-4E38-8529-AAA761838B9D} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {17BD68A3-E7B8-4577-B83F-E0E88021D4AD} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
Task: {203FBFE1-1DE9-4BCF-B70E-C6830B518B03} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {2DB5C8C4-40B9-4641-8F7F-D59048D7642E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {33D57552-2BD3-4007-B14B-3E5C4C9E2935} - \Microsoft\extsetupSB -> No File <==== ATTENTION
Task: {35F9BC07-C7D7-4D18-B26F-7DCFB76EFD9E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {5116197B-FBDB-40E8-AE20-F9D66C46F5D3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6389A5F3-70AB-4717-B088-04E12C42C254} - \Microsoft\Windows\A9BB0876B-98B6-412B-90CF-90E000AF7EF1 -> No File <==== ATTENTION
Task: {6F16D317-15B7-4CBD-BFA6-04F110CEC90A} - \WPD\SqmUpload_S-1-5-21-3601610344-956846787-2384722508-1002 -> No File <==== ATTENTION
Task: {93E25D43-5C7D-4939-BEA0-D1E1D1732FE6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A198B576-AF29-4A1F-A2C4-9BA1F4F116C6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {A2F236A2-D634-4B44-B109-BCD5BFB74045} - \McAfee\McAfee Idle Detection Task -> No File <==== ATTENTION
Task: {A644D72B-935D-4A75-97C9-47826D406701} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {AA2F5DB7-0E6A-4056-B647-91378559F04D} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {CB32925F-8591-43D6-8977-CDBAFF20894F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {CC19273B-3E2C-4BF4-9236-9ED45DFE382B} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {D5BC84F7-7EC5-4ED0-B422-C68BAB4F6A75} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {D5D7732C-6886-402C-95BF-DE13C31A8728} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {D815A27A-D44D-4E06-B7B1-5252885989AE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {F531B54B-3485-4522-92E7-687CFDB2CF94} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [346]
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Есть!

Сообщите, что с проблемой?

Расширения устанавливаться перестали,проблема решена! спасибо большое!

На этом всё!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\users\acеr\appdata\roaming\adobe\nativeplugin\ooba\ppapi\9bb0876b-98b6-412b-90cf-90e000af7ef1\9c716ec2-5809-4143-8413-b5fdd9a2c610.exe - [B]not-a-virus:Downloader.NSIS.Agent.afp[/B][/LIST][/LIST]