Не могу избавится от Extsetup.exe [not-a-virus:Downloader.Win32.LMN.uhmx ]

выполните скрипт uVS

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
BREG
zoo %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
bl 1F469D5D7779AAEEEE687D3358FFB720 460259
delall %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
delref %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH\2.0.14_1\ЗАЩИТА ОТ ВЕБ-УГРОЗ 360
czoo
restart[/CODE]

Установите наконец себе антивирус.

сделайте свежий образ автозапуска.

Свежий образ [url]http://rghost.ru/6HRHYFV75[/url]
После перезагрузки проблема сохранилась. По поводу антивируса, пользуюсь security essentials (защитник Windows) последние несколько лет, до этого проблем не было, а эту заразу подхватил по своей невнимательности(

Смените браузер по умолчанию. После этого сделайте свежий лог Check Browsers' LNK by Alex Dragokas & regist

Установил по умолчанию Edge, сделал лог.

Проблема осталась?

Здравствуйте, к сожалению проблема осталась. Не знаю сможет ли это помочь или нет но у меня остался файл при запуске которого установилась вся эта нечисть.

[quote="Zuluries;1376685"]остался файл при запуске которого установилась вся эта нечисть.[/quote]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

По проблеме ещё раз подробно опишите, в чём она сейчас проявляется?

Загрузил архив, Проблема: Из браузеров (Mozilla Firefox, Google Chrome) удаляет расширения (Adblock и т.д.) Устанавливает свои, создаются ярлыки на сайты на рабочем столе. После сканирования adwcleaner находит и удаляет файлы: отчет adwcleaner [url]http://rghost.ru/private/69fq8NXTR/c43d99b03162004d744a6b22ea7b0809[/url]
После перезагрузки примерно спустя 2-3 минуты все вышеописанные проблемы повторяются, повторное сканирование adwcleaner находит опять все те же файлы. Вообщем такой замкнутый круг(

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования MBAM.[/url]

Сделано

Выполните скрипт в uVS [URL="http://virusinfo.info/showthread.php?t=121769"]Как выполнить скрипт в uVS[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
delmz %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
deldir %SystemDrive%\USERS\ZULURIES\APPDATA\LOCAL\MICROSOFT\EXTENSIONS
deltmp
restart[/CODE]

+ Удалите всё найденное в MBAM.

Выполнил, после перезагрузки проблема сохранилась.

[quote="Zuluries;1376799"]Выполнил, после перезагрузки проблема сохранилась.[/quote]
Новый лог MBAM покажите пожалуйста. Если каким то чудом, нечисть умудряется восстанавливаться, значит она останется в логе MBAM, но не вся, а только наш любимый extsetup.exe. Всякого рода ASPackage, Kometa, должны отсутствовать в новом логе, о том что они мутировали и научились само восстанавливаться мне ничего неизвестно.
Парочка вопросов:
1) У нас в правилах прописано:
[QUOTE]* Обязательно нужно запускать данные программы с правами администратора. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому необходимо нажать правой кнопкой на программу, выбрать пункт "Запустить от имени администратора" (Run as administrator), ввести пароль администратора в появившемся окошке и нажать кнопку "OK".[/QUOTE], надо бы про Windows 10 дописать, Вы правильно запускали утилиты перед выполнением скрипта ?
2) Вам приходилось работать с "Live CD", любым аналогом виртуальной операционки ?

Да, утилиты запускал от имени администратора, прикрепил новые логи MBAM и adwcleaner. С Live CD работал. (Kaspersky Rescue Disk 10)

[b]Zuluries[/b], расширение в мозиле [B][email protected][/B] вам знакомо?

Нет, ни чего подобного не устанавливал.

[quote="Zuluries;1376685"]у меня остался файл при запуске которого установилась вся эта нечисть.[/quote]
можете подробней описать, как произошло заражение? При запуске этого файла открывается браузер со ссылкой на яндекс.

В точности уже не помню, но вкладки с какими-то сайтами точно открывались, но вроде не яндекс, поиск по умолчанию изменился на мэйл ру.

Свежий лог uVS ещё раз сделайте.
[quote="Zuluries;1376862"]вроде не яндекс[/quote]имел ввиду яндекс диск. Но это похоже просто отвлекающий маневр :(.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+ Сделайте лог [URL="http://technet.microsoft.com/ru-ru/bb896645.aspx"]Process Monitor[/URL] следующим образом: запустите Process Monitor; меню Options -> включите флажок Enable Boot Logging; перезагрузитесь; после этого воспроизведите проблему, затем запустите Process Monitor и сохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например [url]http://rghost.ru[/url]

Лог Process Monitor (файл получился очень большой) [url]http://ifolder.su/44945353[/url]
Образ автозапуска uVS [url]http://rghost.ru/85m6WwyWc[/url]