Google Chrome Сам устанавливает расширения. [not-a-virus:Downloader.NSIS.Agent.afp ]

**Андрей Шукало** · 13.11.2016, 19:38

Добрый вечер!
Удаляю и перезагружаю комп все по новому устанавливает ненужные расширения
Логи прикрепил

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.11.2016, 19:40

Уважаемый(ая) Андрей Шукало, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 16.11.2016, 02:37

Здравствуйте,

Сами прописывали прокси-сервер?

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.196.36.2:80

HiJackThis профиксить

Код:

R3 - URLSearchHook: (no name) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - (no file)
O4 - HKLM\..\Run: [Kinoroom Browser] "C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe" --auto-run-reg
O4 - HKLM\..\Policies\Explorer\Run: [9BB0876B-98B6-412B-90CF-90E000AF7EF1] "C:\Users\Acеr\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9BB0876B-98B6-412B-90CF-90E000AF7EF1\9C716EC2-5809-4143-8413-B5FDD9A2C610.exe" --getupdate-npapi-plugin
O4 - HKLM\..\Policies\Explorer\Run: [extsetupSB] "C:\Users\Acеr\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser
O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - (no file)
O18 - Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\Acеr\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9BB0876B-98B6-412B-90CF-90E000AF7EF1\9C716EC2-5809-4143-8413-B5FDD9A2C610.exe','');
 QuarantineFile('C:\Users\Acеr\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetupSB','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\extsetup','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\A9BB0876B-98B6-412B-90CF-90E000AF7EF1','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\KRBUUS\KRBLNKRUN','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetupSB','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\extsetup','64');
 DeleteFile('C:\Users\Acеr\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\9BB0876B-98B6-412B-90CF-90E000AF7EF1\9C716EC2-5809-4143-8413-B5FDD9A2C610.exe','32');
 DeleteFile('C:\Users\Acеr\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Kinoroom Browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9BB0876B-98B6-412B-90CF-90E000AF7EF1');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог Check Browsers' LNK by Dragokas & regist.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Андрей Шукало** · 16.11.2016, 19:24

Сами прописывали прокси-сервер?

Нет не прописывал.
Логи прикрепил, карантин отправил.
После фикса пока все еще устанавливаются расширения (Read Web)

SQ · 17.11.2016, 11:04

Сообщение от Андрей Шукало

Нет не прописывал.

HiJackThis профиксить

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.196.36.2:80

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Андрей Шукало** · 17.11.2016, 17:50

сделано!

SQ · 17.11.2016, 19:00

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Андрей Шукало** · 18.11.2016, 06:30

готово

SQ · 18.11.2016, 10:43

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [{D62E4F3F-7B9E-4CF1-B746-71A49CDCBF23}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{7C1ADF5F-241C-4723-92AE-33ABCF95B6C6}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{AE32660C-B0A4-40B4-954B-745414AC3368}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{6E0048FC-2844-476C-AFAF-CA5B831A209D}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{D8A36FF6-0513-4E37-9B85-58E80C760A2F}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{5874978F-2CAE-4EEA-A11B-3E294A9197CC}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{A78AF6B9-A4F6-45E3-9FB3-4F3252BF191B}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{71D5C966-2ABF-4D51-B417-5D76C0590FD3}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{1419891E-E658-4F5A-B4ED-8C920ED84788}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{93EAD6B0-CDAE-4908-90B7-AF9B405E5E50}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{A7F43BB3-C75C-4FD5-B096-6664D0FCE1DF}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{57E4FDC6-C595-4341-91AE-316EE4808FA8}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{52477CE6-1B3A-457A-9CDC-54378E93D348}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
FF HKLM-x32\...\Firefox\Extensions: [{84E83FD8-DCB2-4490-A6C9-808D23E786F9}] - C:\Users\Acеr\AppData\Roaming\Mozilla\Firefox\Profiles\50s9kd7s.default\extensions\[email protected] => not found
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx <not found>
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\hcmdpeobfoppdkhcneogcflfmfceenlf [2016-10-16]
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-11-13]
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\johjcheghocokbkhacbfbhojoangkpcb [2016-11-04]
OPR Extension: (No Name) - C:\Users\Acеr\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-08]
Task: {00045811-BEEE-46D1-A7CC-506D5B8F8012} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {0C83ED76-168A-4E38-8529-AAA761838B9D} - \Microsoft\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {17BD68A3-E7B8-4577-B83F-E0E88021D4AD} - \Microsoft\Windows\extsetupSB -> No File <==== ATTENTION
Task: {203FBFE1-1DE9-4BCF-B70E-C6830B518B03} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {2DB5C8C4-40B9-4641-8F7F-D59048D7642E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {33D57552-2BD3-4007-B14B-3E5C4C9E2935} - \Microsoft\extsetupSB -> No File <==== ATTENTION
Task: {35F9BC07-C7D7-4D18-B26F-7DCFB76EFD9E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {5116197B-FBDB-40E8-AE20-F9D66C46F5D3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {6389A5F3-70AB-4717-B088-04E12C42C254} - \Microsoft\Windows\A9BB0876B-98B6-412B-90CF-90E000AF7EF1 -> No File <==== ATTENTION
Task: {6F16D317-15B7-4CBD-BFA6-04F110CEC90A} - \WPD\SqmUpload_S-1-5-21-3601610344-956846787-2384722508-1002 -> No File <==== ATTENTION
Task: {93E25D43-5C7D-4939-BEA0-D1E1D1732FE6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A198B576-AF29-4A1F-A2C4-9BA1F4F116C6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {A2F236A2-D634-4B44-B109-BCD5BFB74045} - \McAfee\McAfee Idle Detection Task -> No File <==== ATTENTION
Task: {A644D72B-935D-4A75-97C9-47826D406701} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {AA2F5DB7-0E6A-4056-B647-91378559F04D} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {CB32925F-8591-43D6-8977-CDBAFF20894F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {CC19273B-3E2C-4BF4-9236-9ED45DFE382B} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {D5BC84F7-7EC5-4ED0-B422-C68BAB4F6A75} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {D5D7732C-6886-402C-95BF-DE13C31A8728} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {D815A27A-D44D-4E06-B7B1-5252885989AE} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {F531B54B-3485-4522-92E7-687CFDB2CF94} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [346]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Андрей Шукало** · 18.11.2016, 20:12

Есть!

SQ · 18.11.2016, 21:45

Сообщите, что с проблемой?

**Андрей Шукало** · 18.11.2016, 22:23

Расширения устанавливаться перестали,проблема решена! спасибо большое!

SQ · 19.11.2016, 01:28

На этом всё!

**CyberHelper** · 19.11.2016, 01:38

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
1. c:\users\acеr\appdata\roaming\adobe\nativeplugin\o oba\ppapi\9bb0876b-98b6-412b-90cf-90e000af7ef1\9c716ec2-5809-4143-8413-b5fdd9a2c610.exe - not-a-virus:Downloader.NSIS.Agent.afp

Google Chrome Сам устанавливает расширения. [not-a-virus:Downloader.NSIS.Agent.afp ] (заявка № 205848)

Опции темы