Помогите нормализовать работу компьютера!! [not-a-virus:Downloader.MSIL.Agent.glq ]

[mrak74]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR HomePage: Profile 6 -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Profile 6 -> "hxxp://mail.ru/cnt/7993/","hxxp://www.google.com.ua/","hxxp://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN","hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=3C2B10BF48BAEB1C&affID=120665&tsp=4954","hxxp://www.google.com/"
CHR DefaultSearchURL: Profile 6 -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.11
CHR DefaultSearchKeyword: Profile 6 -> mail.ru
CHR DefaultSuggestURL: Profile 6 -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Tampermonkey) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-10-18]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-10-18]
CHR Extension: (Tampermonkey) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-10-18]
CHR Extension: (Оповещения Jobisjob) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2016-10-24]
CHR Extension: (Tampermonkey) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-10-24]
Task: {00E17E66-18ED-4FC5-A2B7-337590B7D737} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[Андрей_Иваненко]

Добрый день.
Высылаю запрошенный файл.
После перезагрузки опять пытается поднять левые расширения. Фото прилагаю.
С уважением Андрей

[mrak74]

После перезагрузки опять пытается поднять левые расширения. Фото прилагаю.

Самостоятельно удалять их из настроек пробовали ? Они после этого так же появляются в браузере ?

[Андрей_Иваненко]

Я постоянно их удаляю из настроек. Но они периодически выскакивают и иногда даже меняют настройки поисковых систем по умолчанию. Это раздражает.
С уважением Андрей.

[mrak74]

Расширения все отключены ? Синхронизация настроек в аккаунте google включена ?

[Андрей_Иваненко]

Расширения все отключены ? Синхронизация настроек в аккаунте google включена ?

Да.

[mrak74]

Отключите синхронизацию. Удалите не нужные расширения. Что после этих действий ?

[Андрей_Иваненко]

Отключите синхронизацию. Удалите не нужные расширения. Что после этих действий ?

Попробовал вообще создать нового пользователя, не привязанного не к какой учетной записи.
Первое что спрашивает хром - это установить расширения на фото выше.
Я так понимаю, что устранить это врятли получится. Возможно это корпоративный сговор хрома с MAIL.RU.
Правда возникла подобная проблема на компьютере моей супруги. Начал постоянно КАСПЕРСКИЙ кричать про сетевые атаки. Периодически комп пытается загружать файл (или файлы?). Касперский их сразу удаляет. Один роз написал , что устранена попытка активного заражения и несколько раз перегрузил компьютер. Завтра с утра выложу логи. Откуда берется эта напасть?

С уважением Андрей.

[mrak74]

Сделайте еще один лог Farbar Recovery Scan Tool.

+ Сделайте логи RSIT

[Андрей_Иваненко]

Попробовал вообще создать нового пользователя, не привязанного не к какой учетной записи.
Первое что спрашивает хром - это установить расширения на фото выше.
Я так понимаю, что устранить это врятли получится. Возможно это корпоративный сговор хрома с MAIL.RU.
Правда возникла подобная проблема на компьютере моей супруги. Начал постоянно КАСПЕРСКИЙ кричать про сетевые атаки. Периодически комп пытается загружать файл (или файлы?). Касперский их сразу удаляет. Один роз написал , что устранена попытка активного заражения и несколько раз перегрузил компьютер. Завтра с утра выложу логи. Откуда берется эта напасть?

С уважением Андрей.

Добрый день.
Высылаю логи компьютера моей супруги. Если будет возможность, посмотрите, что тут может быть.
Возможно это одна и та же зараза.

С уважением Андрей.

PS. Сейчас включу свой компьютер и пришлю запрошенные логи.

- - - - -Добавлено - - - - -

Сделайте еще один лог Farbar Recovery Scan Tool.

+ Сделайте логи RSIT

Высылаю запрошенные логи по моему компьютеру.
И еще, если будет возможность, почистить папку для загрузки файлов. Логи влезли только в архиве. Места там уже не осталось.

С уважением Андрей.

[mrak74]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR HomePage: Profile 6 -> mail.ru/cnt/11956636?rciguc__PARAM__
  CHR StartupUrls: Profile 6 -> "hxxp://mail.ru/cnt/7993/","hxxp://www.google.com.ua/","hxxp://www.google.com/ig/redirectdomain?brand=LENN&bmod=LENN","hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=3C2B10BF48BAEB1C&affID=120665&tsp=4954","hxxp://www.google.com/"
  CHR DefaultSearchURL: Profile 6 -> hxxps://inline.go.mail.ru/search?inline_comp=dse&q={searchTerms}&fr=chxtn12.0.11
  CHR DefaultSearchKeyword: Profile 6 -> mail.ru
  CHR DefaultSuggestURL: Profile 6 -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
  CHR Extension: (Google Презентации) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-10-26]
  CHR Extension: (Документы Google) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-10-26]
  CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccfifbojenkenpkmnbnndeadpfdiffof [2016-10-26]
  CHR Extension: (Google*Документы офлайн) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-10-26]
  CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-10-26]
  CHR Extension: (Mail.Ru) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-10-26]
  CHR Extension: (Документы Google) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aohghmighlieiainnegkcijnfilokake [2016-01-16]
  CHR Extension: (Google Search) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-01-16]
  CHR Extension: (Google*Документы офлайн) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-10-18]
  CHR Extension: (Документы Google) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aohghmighlieiainnegkcijnfilokake [2016-02-10]
  CHR Extension: (Google Search) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-10]
  CHR Extension: (Google*Документы офлайн) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-10-18]
  CHR Extension: (Tampermonkey) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-10-26]
  CHR Extension: (Оповещения Jobisjob) - C:\Users\Andrey\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\plmlpbcjkpppncefeoongifnpinjmegf [2016-10-26]
  CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
  CHR HKU\S-1-5-21-3094200642-2307593578-64882717-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKU\S-1-5-21-3094200642-2307593578-64882717-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [dkdiphcpgeoipjdhnnldnmifhpokfojg] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
  CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
  2016-10-18 16:12 - 2016-10-18 17:28 - 00000000 ____D C:\Users\Andrey\AppData\Local\Mail.Ru
  2016-10-18 16:12 - 2016-10-18 17:28 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
  2016-10-18 16:12 - 2016-10-18 16:12 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
  2016-10-18 16:12 - 2016-10-18 16:12 - 00000000 ____D C:\ProgramData\Mail.Ru
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Знакомы ли Вам эти папки:

Код:

2016-10-18 16:34 - 2016-10-18 17:36 - 00000000 ____D C:\Program Files (x86)\Clerack
2016-10-18 16:34 - 2016-10-18 17:33 - 00000000 ____D C:\Users\Andrey\AppData\Roaming\Ckomary
2016-10-18 16:34 - 2016-10-18 16:45 - 00000000 ____D C:\Users\Andrey\AppData\Local\Stelers
2016-10-18 16:21 - 2016-10-18 16:21 - 00000000 ____D C:\Program Files (x86)\hhh
2016-10-18 16:19 - 2016-10-20 20:58 - 00000000 ____D C:\Program Files (x86)\93076700-1476800353-81DD-2A8A-0022159A94FC
2016-10-18 16:19 - 2016-10-18 16:19 - 00000000 _____ C:\TOSTACK
2016-10-13 19:11 - 2016-10-13 19:11 - 00000000 ____D C:\Users\Andrey\AppData\Roaming\FFSJ

- - - - -Добавлено - - - - -

Высылаю логи компьютера моей супруги. Если будет возможность, посмотрите, что тут может быть.
Возможно это одна и та же зараза.

Не буду налегать на правила форума, где прописано 1 компьютер = 1 тема. Со дня на день я ухожу в отпуск и уезжаю. По этой причине я не беру новые темы. Мне будет неудобно, что я что-то не доделал, а Вам будет неудобно долго ждать ответа. Спасибо за понимание.

[Андрей_Иваненко]

Добрый день.
Высылаю запрошенный файл.
Те каталоги которые указаны в Вашем письме мне неизвестны.
После перезагрузки компьютера, когда запустил хром, первый раз не попросил установить приложения почта.ру

С уважением Андрей.

Извините за беспокойство по поводу второго компьютера.
Хорошего отдыха.

[mrak74]

После перезагрузки компьютера, когда запустил хром, первый раз не попросил установить приложения почта.ру

Подождем денек, два, если проблема не проявит себя снова, закроем тему. Незнакомые каталоги, лучше удалить, если есть полная уверенность, что Вы их сознательно не ставили.

[Андрей_Иваненко]

Подождем денек, два, если проблема не проявит себя снова, закроем тему. Незнакомые каталоги, лучше удалить, если есть полная уверенность, что Вы их сознательно не ставили.

Большое СПАСИБО.
Каталоги сегодня-же удалю. Я думал, возможно программы создают каталоги для работы.
С уважением Андрей.

[mrak74]

Я думал, возможно программы создают каталоги для работы.

Правильно думали, создают программы каталоги, вот только ни я не Вы не знаете программ которые создали эти папки. Похоже что нет таких программ в природе. Проблема больше не проявлялась ?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\upservice\upservice.exe - not-a-virus:Downloader.MSIL.Agent.glq ( BitDefender: Backdoor.Generic.990629 )