Вирус в браузере Edge

Printable View

29.05.2024, 21:46
Alfizik0

Вирус в браузере Edge

В папке C:\Users\...\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ постоянно появляется то папка "\pbaifoaigacjpcmpdjhdciipjmcfgmnp\19.24_0" то папка "\anmkfofmmdjecokpjpmcegdjfalonllb\19.24_0" с неким непонятным мне расширением, которое я не устанавливал.

Судя по файлу \19.24_0\manifest.json, это расширение имеет имя: "name":"Snet: Сохрани свою анонимность!","version":"19.24","description":"Snet: Оставайся инкогнито в интернете!","homepage_url":"https://snet-vpn.ru/"

Более того, удивительно, но данное расширение не отображается в разделе "Управление расширениями" - edge://extensions/

При проверке антивирусом папки \19.24_0\, обнаруживается заражение:
manifest.json обнаружено: Generic.Application.Cashback.A.CA744F98
\19.24_0\script\bg.js обнаружено: Trojan.Application.BI
\19.24_0\script\install.p.bundle.js обнаружено: Trojan.Application.AO
\19.24_0\script\page.bundle.js обнаружено: Trojan.Application.BC
\19.24_0\script\settings.bundle.js обнаружено: Trojan.Application.BJ
\19.24_0\script\tool.p.bundle.js обнаружено: Trojan.Application.BM

Эти же файлы присутствуют в папке C:\Users\...\AppData\Local\Temp\

При чем большинство антивирусов в этих файлах ничего не находят.

При удалении папки "\pbaifoaigacjpcmpdjhdciipjmcfgmnp\19.24_0" или "\anmkfofmmdjecokpjpmcegdjfalonllb\19.24_0" после перезагрузки компьютера эти паки с расширением снова появляются.

К тому же в папке С:\Users\...\Documents\ при каждой перезагрузке появляются файлы: task.vbs и task.xml. Если эти файлы удалить, то при каждом открытии новой вкладки в браузере, появляется окно Windows Script Host с ошибкой: Не удается найти файл сценария "С:\Users\...\Documents\task.vbs".

При каждой перезагрузке также в Планировщике заданий появляется задача с именем: ChromiumModeUpdate и Действием: Запуск программы: C:\Windows\System32\wscript.exe C:\Users\...\Documents\task.vbs
Удаление задачи не помогает, после перезагрузки она снова появляется.

В браузере Edge синхронизация не включена.

Как удалить заражение?
29.05.2024, 21:47
Info_bot

Уважаемый(ая) [B]Alfizik0[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
29.05.2024, 22:06
Alfizik0

Вложений: 1

Во вложении логи сканирования.
29.05.2024, 23:04
Vvvyg

Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].
29.05.2024, 23:27
Alfizik0

Вложений: 2

Логи во вложении
30.05.2024, 07:24
Vvvyg

Нужен отчёт ClearLNK, файл Check_Browsers_LNK.log и так есть в логах.

В AdwCleaner ничего не удаляйте. Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
30.05.2024, 19:50
Alfizik0

Вложений: 2

отчет ClearLNK

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Отчеты FRST.txt и Addition.txt
30.05.2024, 21:55
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {AE2D8A6D-28CF-44AF-866E-23E1D9329CB2} - System32\Tasks\ChromiumModeUpdate => C:\Windows\System32\wscript.exe [170496 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\Home\Documents\task.vbs <==== ВНИМАНИЕ
CMD: type C:\Users\Home\Documents\task.vbs
C:\Users\Home\Documents\task.vbs
2024-05-28 20:00 - 2024-05-28 20:00 - 000788410 _____ C:\Users\Home\Documents\pbaifoaigacjpcmpdjhdciipjmcfgmnp.zip
C:\Users\Home\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\pbaifoaigacjpcmpdjhdciipjmcfgmnp
FirewallRules: [TCP Query User{473FD13F-D8D3-42A5-8001-44AB907AC978}C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe => Нет файла
FirewallRules: [UDP Query User{EAFB11B3-272E-4343-A976-36CA52BA60C2}C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe => Нет файла
FirewallRules: [TCP Query User{2517E784-7654-402C-9E38-1B8691FF88C8}C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe => Нет файла
FirewallRules: [UDP Query User{85B9A288-55D2-419A-8171-C33A5E37C18F}C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe => Нет файла
FirewallRules: [TCP Query User{FB0B67CF-F658-4C72-A99C-93BFB12DC15F}D:\games\realrtcw\realrtcw\realrtcw.x64.exe] => (Block) D:\games\realrtcw\realrtcw\realrtcw.x64.exe => Нет файла
FirewallRules: [UDP Query User{EC7F445F-E7F6-4D45-85F8-255BA08BF8A5}D:\games\realrtcw\realrtcw\realrtcw.x64.exe] => (Block) D:\games\realrtcw\realrtcw\realrtcw.x64.exe => Нет файла
FirewallRules: [TCP Query User{001C1C6B-ED23-4870-A2A2-834C9BE362F4}D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe] => (Block) D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe => Нет файла
FirewallRules: [UDP Query User{92F8346D-7CF6-493F-AE27-EB59470109E8}D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe] => (Block) D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Последите, будет ли снова появляться расширение.
31.05.2024, 00:46
Alfizik0

Вложений: 1

[B]Vvvyg[/B], скопировал в буфер обмена код, запустил FRST.EXE/FRST64.EXE, исправить, компьютер перезагрузился.
Только не понял в чем суть копирования кода, если его никуда не вставить при этом?...

Что поменялось, да в принципе ничего не поменялось...

1. Что НЕ Изменилось:

В папке С:\Users\...\Documents\ после перезагрузки по прежнему файлы: task.vbs и task.xml.
Если удалить эти файлы в ручную, то снова при каждом открытии новой вкладки в браузере, появляется окно Windows Script Host с ошибкой: Не удается найти файл сценария "С:\Users\...\Documents\task.vbs".

По прежнему в Планировщике заданий присутствует задача с именем: ChromiumModeUpdate и Действием: Запуск программы: C:\Windows\System32\wscript.exe C:\Users\...\Documents\task.vbs

2. Что изменилось:

В папке C:\Users\...\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ теперь уже новая папка \ppfmpmlgeoniceaahcgffcmmceaicpaj\31.38_0\

В остальном в ней те-же самые зараженные файлы:
manifest.json
\31.38_0\script\bg.js
\31.38_0\script\install.p.bundle.js
\31.38_0\script\page.bundle.js
\31.38_0\script\settings.bundle.js
\31.38_0\script\tool.p.bundle.js

Разве что в файле \31.38_0\manifest.json, поменялось имя расширения: "name":"Fnet - Доступ к сайтам!","version":"31.38","description":"Доступ к вашим любимым сайтам!","homepage_url":"https://fnet-vpn.ru/"
31.05.2024, 07:15
Vvvyg

Сделайте сброс настроек MS Edge, удалите задание и файл task.vbs. Последите. если повторится, будем думать дальше.
01.06.2024, 13:09
Alfizik0

После очередной перезагрузки в браузере в "Управление расширениями" (edge://extensions/) стало отображаться это вредительское расширение. Отключил и затем удалил его.

При помощи антивируса проверил и удалил зараженные файлы в папке C:\Users\...\AppData\Local\Temp\ext-ciz48J\extension\

Это были:
content.bund.js обнаружено: Trojan.Application.E
p-install.bund.js обнаружено: Trojan.Application.AM
popup.bund.js обнаружено: Trojan.Application.F
manifest.json обнаружено: Generic.Application.Cashback.A.A9E152DA
p-tool.bund.js обнаружено: Trojan.Application.V

Удалил в Планировщике заданий задачу с именем: ChromiumModeUpdate и Действием: Запуск программы: C:\Windows\System32\wscript.exe C:\Users\...\Documents\task.vbs

Удалил в папке С:\Users\...\Documents\ файлы: task.vbs и task.xml.

После чего сделал сброс в браузере Edge - Сбросить настройки ==> Восстановить стандартные настройки.

После сброса Edge, он автоматически проверил обновления и обновился до следующей версии. Не знаю может это было просто совпадение, а может зловредное приложение не давало обновляться браузеру.

После чего 1-2 дня все было нормально. Ничего подозрительного не появлялось. Но затем при очередной работе браузер Edge, он внезапно сам собой завершил работу. Запустил его заново, появилось пустая начальная страница и браузер Edge, сообщил что была некорректно завершена работа и предложил восстановить ранее открытые вкладки.

И вот после запуска Edge, после внезапного завершения его работы. Все снова вернулось как было прежде - появилось вирусное расширение, файлы: task.vbs и task.xml в папке Documents, задача ChromiumModeUpdate в Планировщике заданий. И снова зараженные файлы в папках:
C:\Users\...\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\
C:\Users\...\AppData\Local\Temp\

В общем все как было.
01.06.2024, 15:14
Vvvyg

Не припомните, что было перед тем, как началось? Какую-то программу, кряк ставили/запускали?

[url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.[/code]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
01.06.2024, 23:47
Alfizik0

Вот что и удивляет, что никаких программ не запускал, ничего не устанавливал, и даже ничего не скачивал из интернета.
Только открывал закладки в браузере и читал статьи в Дзене.

Ссылку на архив отправил вам в личное сообщение.
02.06.2024, 22:10
Vvvyg

Попробуйте отследить, какая программа создаёт файлы расширений и скрипт task.vbs.
Загрузите [URL="https://download.sysinternals.com/files/ProcessMonitor.zip"][B]Sysinternals Suite[/B][/URL], распакуйте и запустите Procmon.exe. Меню [B]Filter[/B] -> [B]Filter...[/B], в строке [B]Display entries matching these conditions:[/B] [B]Path contains[/B] впечатываете [искомое (task.vbs, например) then Include, далее Add, Apply и OK.
05.06.2024, 19:27
Alfizik0

[B]Procmon дал результат! [/B]
Зловредные файлы (вирусное расширение в Edge) и задачу ChromiumModeUpdate в Планировщике заданий создает программа: "C:\Users\...\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe" /LHS

Через Панель управления => Программы => Программы и компоненты, удалил программу gt-launcher.

После чего удалил ставшую пустой папу C:\Users\...\AppData\Local\Programs\com.gametop.launcher

После чего в Планировщике заданий обратил внимание на две задачи, так как стало видно пометку File not found.

1.
Имя: \ICTorrentUpdaterV1
Тригер: При включении компьютера
Действие: C:\Users\...\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe /LHS

2.
Имя: \ICTorrentUpdaterV2
Тригер: Частота повтора после начала 04:00:00 без окончания
Действие: C:\Users\...\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe /LHS

Удалил эти задачи.

Что еще стоит поискать и почистить? Может что то в реестре?
05.06.2024, 21:59
Vvvyg

Новые логи Farbar Recovery Scan Tool сделайте, посмотрю, что могло остаться.
06.06.2024, 19:03
Alfizik0

Вложений: 1

Логи Farbar Recovery Scan Tool.
06.06.2024, 21:39
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
2024-05-07 19:29 - 2024-05-07 19:29 - 000000000 ____D C:\Users\Home\AppData\Roaming\com.gametop.launcher
2024-05-07 19:29 - 2024-05-07 19:29 - 000000000 ____D C:\Users\Home\AppData\Local\com.gametop.launcher-updater
2024-05-07 19:28 - 2024-05-07 19:29 - 000000000 ____D C:\Users\Home\AppData\Roaming\com.glauncher.w18
2024-05-07 19:28 - 2024-05-07 19:29 - 000000000 ____D C:\Users\Home\AppData\Roaming\com.gamepocket.launcher
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.