Tiggre!Plock

Добрый день!
В браузере сами по себе открываются страницы. Security essentials обнаружил троян Tiggre!Plock, удалить не смог.
Помогите, пожалуйста:sos:

Уважаемый(ая) [B]olcaesar[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
DeleteService('LiveUpdateSvc');
DeleteSchedulerTask('{1A278853-472A-468E-AC00-CBCBE3FE818E}');
DeleteSchedulerTask('{479F72B8-E0FB-4A81-859B-D213A95DD5D7}');
DeleteSchedulerTask('{4A38AAD6-BFA0-4EDC-9F9D-F981ADAF7C45}');
DeleteSchedulerTask('{4DF59FF2-90C2-4418-9009-225397392519}');
DeleteSchedulerTask('{53A8F359-8B63-4C2C-968B-6007620A1821}');
DeleteSchedulerTask('{69462A28-B839-444D-98E2-6D04F9575F08}');
DeleteSchedulerTask('{78AB8EEB-3140-47E2-AA43-38D6F747A928}');
DeleteSchedulerTask('{822CD50F-8732-45E6-8428-1AE76225BDA3}');
DeleteSchedulerTask('{97F02234-02C8-433A-ABBD-23FF68329838}');
DeleteSchedulerTask('{B97398AC-520C-4419-BBBD-C03AAB9D90C1}');
DeleteSchedulerTask('{CF73BE7C-C1AE-4EC2-A24B-D3AA704F701E}');
DeleteSchedulerTask('{D51E5308-8AFD-4B68-94FA-F9F6DAA386F8}');
DeleteSchedulerTask('{E08C5B93-7764-4820-BDAC-AA13E971598F}');
DeleteSchedulerTask('{E3905D17-1004-48A6-8A46-CB5D2288002B}');
DeleteSchedulerTask('Apple Diagnostics');
DeleteSchedulerTask('Driver Booster SkipUAC (Lesechka)');
DeleteSchedulerTask('iToolsDaemon');
DeleteSchedulerTask('iToolsDaemon.job');
DeleteSchedulerTask('Uninstaller_SkipUac_Lesechka');
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\Lesechka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Отправка в OneNote.lnk" -> ["C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE" =>> /tsr]
>>> "C:\ProgramData\Microsoft\Windows\GameExplorer\{99FBF6F4-D4A5-4497-B865-D4FDB8CA40C0}\PlayTasks\0\Blur(TM).lnk" -> ["D:\Games\Blur(TM)\Blur.exe"]
>>> "C:\Users\Lesechka\Links\Google Диск.lnk" -> ["C:\Users\Lesechka\Google Диск"]
>>> "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\0\Играть.lnk" -> ["D:\Games\Assassin's Creed\AssassinsCreed_Launcher.exe"]
>>> "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\1\Регистрация.lnk" -> ["D:\Games\Assassin's Creed\Register\RegistrationReminder.exe" =>> -g Assassin's Creed -i 3538]
>>> "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\2\ReadMe.txt.lnk" -> ["D:\Games\Assassin's Creed\Support\ReadMe\ReadMe.txt"]
>>> "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\3\Руководство к игре.lnk" -> ["D:\Games\Assassin's Creed\Support\Manual\AssassinsCreed.pdf"]
>>> "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\4\Проверка совместимости.lnk" -> ["D:\Games\Assassin's Creed\Detection\Detection.exe"]
>>> "C:\Users\Lesechka\AppData\Local\Microsoft\Windows\GameExplorer\{B9083E73-6E43-470F-9E2F-3DDB998631C7}\PlayTasks\0\Играть.lnk" -> ["D:\POPT2T\PrinceOfPersia.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\PopCap Games\Plants vs. Zombies\Удалить Plants vs. Zombies.lnk" -> ["D:\Games\PlantsvsZombies\Plants vs. Zombies\PopUninstall.exe" =>> "D:\Games\PlantsvsZombies\Plants vs. Zombies\Install.log"]
>>> [RO] "C:\Users\Lesechka\AppData\Roaming\Microsoft\Excel\Табель%20ВДНХ%204%20февраль305121371017020740\Табель%20ВДНХ%204%20февраль.xlsx.lnk" -> ["D:\Загрузки\Табель ВДНХ 4 февраль.xlsx" =>> 50]
>>> "C:\Users\Lesechka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk" -> ["C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE" =>> /recycle]
[/CODE]Отчёт о работе прикрепите.

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].

Отправляю логи из ClearLNK и AdwCleaner

Если Вы уже закрыли приложение, запустите повторное сканирование в [B]Malwarebytes AdwCleaner[/B], установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "[B]Сбросить политики Chrome (Reset Chrome Policies[/B]". В разделе "Предустановленные программы" ничего не отмечайте.
Затем нажмите [B]Карантин[/B] ([B]Quarantine[/B]) и по окончании очистки перезагрузите систему по требованию программы.

После перезагрузки в меню [B]Файлы журналов[/B] программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Отключите лишние оповещения [URL="https://support.google.com/chrome/answer/3220216?co=GENIE.Platform%3DDesktop&hl=ru"]в Хроме[/URL]

Очистите кеш и cookie [URL="https://support.google.com/accounts/answer/32050?co=GENIE.Platform%3DDesktop&hl=ru"]в Хроме[/URL].

Сообщите, что с проблемой.

Лог прикрепляю.
По проблеме пока все ок, но страницы открывались в произвольном временном отрезке, так что гарантий никаких нет.

Если повторится - сделайте такой лог.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Спасибо большое за помощь.
Если вдруг что, - отпишусь.

снова вылез(
отправляю логи из FRST

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: F - F:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {0c96f56e-5a49-11e5-b8e1-ecf4bb9432b3} - G:\autorun.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {1aa2e7ff-5d8e-11e6-97ce-543530e04e84} - E:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {1aa2e80a-5d8e-11e6-97ce-543530e04e84} - F:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {4e40f122-4268-11e7-a544-543530e04e84} - E:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {7d72243a-eed1-11e8-b751-543530e04e84} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {ab1b9430-2b70-11e4-bb63-ecf4bb9432b3} - E:\PlantsVsZombiesSetup.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {cf98b9d4-801c-11e5-a96f-ecf4bb9432b3} - E:\Autoinstaller.exe
GroupPolicy: Restriction ? <==== ATTENTION
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
CHR HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd]
AlternateDataStreams: C:\ProgramData\TEMP:CD30FA91 [356]
FirewallRules: [{50988603-03EC-4632-93CC-3F4E28B74ABF}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{19312868-A776-445B-8BFB-2C7C39085626}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{501895B7-1DAA-43C9-B2E1-F39B77A186E8}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{B9874C2A-AB50-450F-AA26-BA09CCFE96E5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{6C1EB42E-CD97-46FA-8CE3-4682BEADD5B3}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [{C5E7255B-A1F7-4E0F-BF72-D4FD6643FB5B}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [{BAE9D188-6285-4F1C-A8C0-9B3A8309594D}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [{7225AEEB-02DB-4EAB-8873-0DB15D52E844}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [TCP Query User{49AE3381-645C-4458-BA4B-E2F1D4AA118B}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [UDP Query User{11D09258-C462-418B-A6A7-78662603E59F}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [TCP Query User{A2BE8A25-8DF4-46B7-B4E4-863F2EC058D2}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [UDP Query User{E17AEF6C-2210-4EEB-9A20-66564174FAA9}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [TCP Query User{9A0932CE-BB0B-4511-A117-BD7B9EFF01B4}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Block) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [UDP Query User{D45138F3-82B6-4C66-B449-EDDE60524728}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Block) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [TCP Query User{D8915252-6192-4566-A882-EBA1A6D6ADB4}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [UDP Query User{EE955BF6-7204-4E48-ACF4-79B6BD4D3761}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [TCP Query User{FE4F6064-42E1-4FFB-8364-3AC51C3B0394}D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [UDP Query User{34ED2338-EFA9-4697-B340-042FB4B0374E}D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [{7E94FEA6-FB9E-4F9B-8948-67FEEAF4C7CD}] => (Block) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [{95380A0F-D3CC-4B1F-ADD7-49E7FF5C4BE2}] => (Block) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите ненужные расширения в Хроме, которые сами не ставили. Остальные временно отключите.
Очистите кеш и cookie [URL="https://support.google.com/accounts/answer/32050?co=GENIE.Platform%3DDesktop&hl=ru"]в Хроме[/URL].
Сделайте эти действия во всех профилях Google Chrome.

По сути у Вас не вирус, а реакция на доступ к различным рекламным и сомнительным ресурсам. Из-за каких-то расширений, либо после хождения по нехорошим сайтам, понять сложно.

[QUOTE=Vvvyg;1512467]
По сути у Вас не вирус, а реакция на доступ к различным рекламным и сомнительным ресурсам. Из-за каких-то расширений, либо после хождения по нехорошим сайтам, понять сложно.[/QUOTE]
Тоже была такая мысль, но удивляет то, что на другом пк установлен хром с теми же аккаунтами, а соответственно настройками, расширениями и т.п. и таких проблем там не было ни разу.
лог прикрепляю

Сделайте ещё проверку в Adwcleaner.

готово

Снова всё удалите в Adwcleaner.

Синхронизация профиля Google используете?

да, синхронизация включена

Из-за неё и возвращается проблема. Как это лечить не выходя из учётки - я не знаю, Гугл, похоже, тоже.

что ж, суть ясна... ладно, посмотрю, как будет себя вести дальше.
еще раз спасибо огромное!

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.