Помогите! Автоматически утсанавливаются раcширения в Chrome. [UDS:DangerousObject.Multi.Generic]

**appcent** · 23.05.2017, 19:44

Доброго времени суток! В браузере Google Chrome постоянно, автоматически устанавлювиются различные расширения, при этом удалают adblock и блокируют "инструменты разработчика". Прошу помощи для решения данной проблемы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.05.2017, 19:46

Уважаемый(ая) appcent, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 30.05.2017, 10:17

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

Код:

O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [EE356747-D16B-4473-95FE-E7F90F4E8969] C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\C0F975A2-8404-494A-86D0-D558A477417B.exe --getupdate-ppapi-plugin
O4 - HKLM\..\Policies\Explorer\Run: [SafeBrowser] C:\Users\appcent\AppData\Local\Microsoft\Extensions\extsetup.exe /S --safebrowser
O22 - Task (Ready): Core Temp Autostart appcent - C:\Users\appcent\Downloads\Core Temp.exe (file missing)
O22 - Task (Ready): \Microsoft\KRBUUS\KRB Updater Utility Service - C:\ProgramData\KRB Updater Utility\krbupdater.exe /S (file missing)
O22 - Task (Ready): \Microsoft\KRBUUS\KRBLNKRUN - C:\Program Files\Kinoroom Browser\krbrowser.exe (file missing)
O22 - Task (Ready): \Microsoft\SafeBrowser - C:\Users\appcent\AppData\Local\Microsoft\Extensions\extsetup.exe /S --safebrowser
O22 - Task (Ready): \Microsoft\Windows\AEE356747-D16B-4473-95FE-E7F90F4E8969 - C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\C0F975A2-8404-494A-86D0-D558A477417B.exe --getupdate-ppapi-plugin
O22 - Task (Ready): \Microsoft\Windows\SafeBrowser - C:\Users\appcent\AppData\Local\Microsoft\Extensions\extsetup.exe /S --safebrowser
O22 - Task (Ready): \Microsoft\Windows\extsetup - C:\Users\appcent\AppData\Local\Microsoft\Extensions\extsetup.exe /S --setresetup
O22 - Task (Ready): \Microsoft\extsetup - C:\Users\appcent\AppData\Local\Microsoft\Extensions\extsetup.exe /S --setresetup

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\C0F975A2-8404-494A-86D0-D558A477417B.exe','');
 QuarantineFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','');
 QuarantineFile('C:\Program Files\NewExt\nssm.exe','');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','');
 QuarantineFile('C:\Users\appcent\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 QuarantineFile('C:\Users\appcent\AppData\Roaming\KoshyJohn.com\MemClean\MemClean.exe','');
 QuarantineFile('C:\Users\appcent\AppData\Roaming\svrupg.exe','');
 QuarantineFile('C:\Users\appcent\Downloads\Core Temp.exe','');
 QuarantineFile('C:\Users\appcent\appdata\local\microsoft\extensions\extsetup.exe','');
 DeleteFile('C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\C0F975A2-8404-494A-86D0-D558A477417B.exe','32');
 DeleteFile('C:\Program Files\Kinoroom Browser\krbrowser.exe','32');
 DeleteFile('C:\Program Files\NewExt\nssm.exe','32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe','32');
 DeleteFile('C:\Users\appcent\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 DeleteFile('C:\Users\appcent\AppData\Roaming\svrupg.exe','32');
 DeleteFile('C:\Users\appcent\Downloads\Core Temp.exe','32');
 DeleteFile('C:\Users\appcent\appdata\local\microsoft\extensions\extsetup.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Core Temp Autostart appcent" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility Service" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\SafeBrowser" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\AEE356747-D16B-4473-95FE-E7F90F4E8969" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\SafeBrowser" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetup" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetup" /F', 0, 15000, true); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpSvc','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','EE356747-D16B-4473-95FE-E7F90F4E8969');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**appcent** · 01.06.2017, 11:03

1. По HiJackThis:
После сканировки нашёл только 2 совпадения с выше приведенным кодом, соответственно, только их и пофиксил.

Код:

O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [EE356747-D16B-4473-95FE-E7F90F4E8969] C:\Program Files\Common Files\Adobe\OOBA\PDApp\PPAPI\C0F975A2-8404-494A-86D0-D558A477417B.exe --getupdate-ppapi-plugin

2. Скрипт выполнил, отправил quarantine.zip
3. Лог AdwCleaner приложил.

SQ · 01.06.2017, 12:29

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**appcent** · 01.06.2017, 15:35

Готово.

SQ · 02.06.2017, 01:26

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**appcent** · 02.06.2017, 08:23

Готово.

SQ · 03.06.2017, 18:52

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
FF HKLM\...\Firefox\Extensions: [{794C10CB-5051-F1BC-871B-2B229B63BD74}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
FF HKLM\...\Firefox\Extensions: [{D7F77EAB-61E7-85EF-7258-CC2EC5D3B88F}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
FF HKLM\...\Firefox\Extensions: [{0A0C8E44-D5A1-7E1D-D2DF-838DCC26B930}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
FF HKLM\...\Firefox\Extensions: [{DA4474C2-B1FD-222B-9552-51D1C67D6577}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
FF HKLM\...\Firefox\Extensions: [{8428E4DE-58D0-BB6D-3F72-8E3DDF46D108}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
FF HKLM\...\Firefox\Extensions: [{7BAAEA12-ECC7-CC5F-1DC2-A8D3B6A68C8F}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
FF HKLM\...\Firefox\Extensions: [{7AF446F1-D815-7A8C-44DD-E33966FE1EB6}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
FF HKLM\...\Firefox\Extensions: [{50B23977-87FE-B3D4-F78B-220DBE043DF3}] - C:\Users\appcent\AppData\Roaming\Mozilla\Firefox\Profiles\vd8h1ukf.default\extensions\[email protected] => not found
File: C:\Program Files\Google\Update\GoogleUpdate.exe
S1 qutmipc; C:\WINDOWS\system32\drivers\qutmipc.sys [53960 2016-02-01] (360.cn)
File: C:\Program Files\PerformanceTest\DirectIo32.sys
Task: {83779F76-C54D-4F81-8FF2-04F6DC5AC221} - \Kinoroom Browser -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**appcent** · 03.06.2017, 19:14

Готово.

SQ · 03.06.2017, 20:08

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
S4 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X]
S4 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 DIRECTIO; \??\C:\Program Files\PerformanceTest\DirectIo32.sys [X]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**appcent** · 04.06.2017, 19:26

Готово.

SQ · 05.06.2017, 05:38

Сообщите, что с проблемой?

**appcent** · 05.06.2017, 08:38

Расширения в порядке, автоматически ни чего лишнего не ставится. Единственное инструменты разработчика chrome вновь недоступны, но я думаю что после переустановки браузера все заработает.

SQ · 05.06.2017, 09:51

Приложите новый лог утилиты FRST.

**appcent** · 08.06.2017, 07:10

Готово.

SQ · 08.06.2017, 08:34

Уточните пожалуйста у Вас браузер chrome синхронизирован с google?

**appcent** · 08.06.2017, 22:47

Совершенно верно.

SQ · 09.06.2017, 11:21

Пробуйте отключить временно синхронизацию и проверить наличие проблемы.

**appcent** · 11.06.2017, 08:57

Отключил, инструменты разработчика всё также не активны.

Помогите! Автоматически утсанавливаются раcширения в Chrome. [UDS:DangerousObject.Multi.Generic] (заявка № 212385)

Опции темы