Opera и Google Chrome не запускаются

[ankosha]

Помогите почистить комп от вирусов.
Перестали запускаться Opera и Google Chrome.
DrWeb CureIt нашел и удалил целый зверинец в 37 объектах. Не вылечился только hosts.
В hosts, я так понял, блокировки от программы unchecky, хотя сама программа на компе не установлена.
Попробовал удалить старые версии Opera из списка установленных программ. Удаление не выполняется.
Есть подозрение, что не все от вирусов удалилось.

[Info_bot]

Уважаемый(ая) ankosha, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники в Элементс Браузере.lnk"      -> ["C:\Users\Acer\AppData\Local\Elements Browser\Application\ElementsBrowser.exe"  =>> -- hxxp://api.elementsbrowser.com/config/bookmark/click?thumb_id=8fd79359-d01d-4bbf-aeb0-ca6138998cc4&source=taskbar&client_id=000037CD-8E03-48E9-821E-6E783B92B5D2]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте в Элементс Браузере.lnk"          -> ["C:\Users\Acer\AppData\Local\Elements Browser\Application\ElementsBrowser.exe"  =>> -- hxxp://api.elementsbrowser.com/config/bookmark/click?thumb_id=295254cf-901b-4df5-ae67-c425c9063be6&source=taskbar&client_id=000037CD-8E03-48E9-821E-6E783B92B5D2]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Aliexpress.com в Элементс Браузере.lnk"     -> ["C:\Users\Acer\AppData\Local\Elements Browser\Application\ElementsBrowser.exe"  =>> -- hxxp://api.elementsbrowser.com/config/bookmark/click?thumb_id=fca0aa5a-5cba-4d46-85a0-ef08e164e123&source=taskbar&client_id=000037CD-8E03-48E9-821E-6E783B92B5D2]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\U.S. Cellular Broadband Connect\U.S. Cellular Broadband Connect uninstall.lnk"    -> ["C:\Program Files (x86)\InstallShield Installation Information\{6336C0CC-BA32-4949-9D3D-C86B76147USC}\setup.exe"  =>> -uninst -runfromtemp]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet.lnk"    -> ["C:\Users\Acer\AppData\Local\MediaGet2\mediaget.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Elements Browser.lnk"   -> ["C:\Users\Acer\AppData\Local\Elements Browser\Application\ElementsBrowser.exe"]
>>>  "C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Elements Browser.lnk"      -> ["C:\Users\Acer\AppData\Local\Elements Browser\Application\ElementsBrowser.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Construction Simulator 2015\UninstallConstruction Simulator 2015.lnk"   -> ["C:\Games\RePack by XLASER\Construction Simulator 2015\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить Euro Truck Simulator.lnk"        -> ["C:\Games\Euro Truck Simulator\eurotrucks2.exe"]

Отчёт о работе прикрепите.

В системе 2 антивируса: Avast Free и ByteFence Anti-Malware, удалите один из них и проверьте проблему.

[ankosha]

Первый линк не удаляется

[Vvvyg]

Какой первый линк? Я антивирус просил удалить.

[ankosha]

Вот этот

>>> "C:\Users\Acer\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\Одноклассники в Элементс Браузере.lnk" -> ["C:\Users\Acer\AppData\Local\Elements Browser\Application\ElementsBrowser.exe" =>> -- hxxp://api.elementsbrowser.com/config/bookmark/click?thumb_id=8fd79359-d01d-4bbf-aeb0-ca6138998cc4&source=taskbar&client_id=000037CD-8E03-48E9-821E-6E783B92B5D2]

Удалил ByteFence. Не работающий Chrome удалился штатно, а вот Opera пришлось сносить врукопашную в безопасном режиме, там же почистил и hosts. Штатно удалил elementsbrowser из установленных программ.
Заново установленные Opera и Google Chrome вроде работают.
Наткнулся на вот такую странность. После включения отображения системных папок и файлов в корне С был обнаружен скрытый каталог found.000, доступ в который для учетной записи Acer(он же Администратор) был запрещен. Вошел я в этот каталог только из безопасного режима. Там лежали два файла(не запомнил имен, по привычке удалил), явно не результат работы chkdsk.
При этом DrWeb CureIt из обычного и безопасного режимов ничего не находил. Но какая то служба в обычном режиме скрывала доступ в эту папку.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[ankosha]

По ссылке, которую Вы дали, при нажатии на закачку, удаленный хост требует входящее соединение. Это нормально?

[Vvvyg]

В каком браузере? У меня в Opera не требует, да и у других в этом разделе никогда ничего подобного не было. Приложите скриншот.

[ankosha]

Браузер Mozilla Firefox. Вчера фаервол выдал на кнопке скачать 64 разрядную версию информацию, что удаленный хост пытается подключиться, я разрешил, но закачка так и не началась. При этом наблюдал интенсивный входящий трафик.
Сегодня на сайте www.bleepingcomputer.com был банер о необходимости включения куков, вчера такого не было, и закачка началась без доп вопросов.
В настройках фаервола входящие соединения для Mozilla Firefox - спрашивать разрешения. Не знаю, что и думать!
Соответственно, скриншота со вчерашней ситуацией нет.
Выкладываю запрошенные логи сканирования.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR HKU\S-1-5-21-2264642227-3452602792-639156471-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gkcfopbmpihfnphgamgibhkdhdgnplfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
2018-05-15 22:57 - 2018-05-15 22:57 - 000000000 ____D C:\Program Files (x86)\GUMF8A.tmp
2018-05-17 13:13 - 2018-05-17 13:13 - 002183680 _____ (Opera Software) C:\Users\Acer\AppData\Local\Temp\Opera_installer_180517101343141.dll
2018-05-17 13:13 - 2018-05-17 13:13 - 002183680 _____ (Opera Software) C:\Users\Acer\AppData\Local\Temp\Opera_installer_180517101343203.dll
2018-05-17 13:13 - 2018-05-17 13:13 - 002183680 _____ (Opera Software) C:\Users\Acer\AppData\Local\Temp\Opera_installer_180517101343328.dll
2018-05-17 13:13 - 2018-05-17 13:13 - 002183680 _____ (Opera Software) C:\Users\Acer\AppData\Local\Temp\Opera_installer_180517101346635.dll
2018-05-19 09:13 - 2018-05-19 09:13 - 000000000 _____ () C:\Users\Acer\AppData\Local\Temp\{28B0D18B-B7EA-48BC-B482-BCF4A800499F}-GoogleUpdateSetup.exe
Task: {87694A55-7F4E-4D95-A2AE-2BDA8084A7AC} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe <==== ATTENTION
Task: {D6FDDE2B-E576-442F-97C0-82FF16B02BC8} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\ByteFence" /ENABLE
Task: {E4CB6D74-01AB-464B-8101-2A046A812BB5} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe <==== ATTENTION
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[ankosha]

И все таки, просветите пожалуйста, входящее подключение в броузер чем может быть вызвано? И как следует реагировать на это?
А то еще не долечил ноут, а есть опаска, что впустил трояна на основной комп.
Вот логи.

[Vvvyg]

Насчёт входящих ничего не могу сказать, возможно, это FF слегка параноит.

Сделайте лог Malwarebytes AdwCleaner.

[ankosha]

Логи Malwarebytes

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[ankosha]

Я конечно удалил, но как то странная нелюбовь adwcleaner-а к yandex.ru, mail.ru, да и orbitum в вирусы записали, папку и ярлыки снесли, а в установленных программах осталось...
Проблем пока не наблюдаю.
Спасибо!

[Vvvyg]

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.