Помогите избавиться от PAGELINER (неудаляемое расширение для Chrome)

[asgard62rus]

Привет, друзья!
Два дня назад обнаружил у себя на компьютере эту бяку, ничего подозрительного не скачивал..В итоге на компьютере появилось куча программ типа Амиго браузера и Мэйловских приложений, а хром перестал открывать соцсети и удалил AdBlocker.
Расширение подчиняется корпоративному правилу, удалить его напрямую нельзя.
Что пробовал делать:
1.Переустановка браузера
2.Средство Chrome для удаления сторонних приложений
3.Полная проверка Касперским
4.Ручная чистка реестра, автозагрузки
Ничего не помогло.Нахожусь на грани переустановки системы.
Спасибо за помощь!

[Info_bot]

Уважаемый(ая) asgard62rus, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[asgard62rus]

Прислал логи. Помогите!

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\aleks\AppData\Local\FilterStart\FilterStart.exe','');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','');
 QuarantineFile('C:\Users\aleks\AppData\Local\Hostinstaller\2484396536_monster.exe','');
 QuarantineFile('C:\Program Files (x86)\LdsLite\LdsLite.exe','');
 QuarantineFile('C:\Program Files (x86)\Aterkither\greory.exe','');
 QuarantineFile('C:\Users\aleks\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','');
 DeleteFile('C:\Program Files (x86)\badu\uc.exe','32');
 DeleteFile('C:\Program Files (x86)\badu\Uninst.exe','32');
 DeleteFile('C:\Users\aleks\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe','32');
 DeleteFile('C:\Users\aleks\AppData\Local\Amigo\Application\amigo.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','amigo');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mailruhomesearch');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pcmgr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 DeleteFile('C:\Users\aleks\AppData\Local\MzIzNTM0Mzc=\s_inst.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\MzIzNTM0Mzc=.job','32');
 DeleteFile('C:\Program Files (x86)\Aterkither\greory.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Atalagelvoy Module','64');
 DeleteFile('C:\Program Files (x86)\LdsLite\LdsLite.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\ComputerZLite','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MzIzNTM0Mzc=','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\aleks\AppData\Local\Hostinstaller\2484396536_monster.exe','32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Solution Language Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Standart Private Mgr','64');
 DeleteFile('C:\Users\aleks\AppData\Local\FilterStart\FilterStart.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{1095F950-130E-45D2-AA26-5872300BFEFD}','64');
 DeleteFile('C:\ProgramData\hdtask\uninstall.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

[asgard62rus]

Вот новые логи, карантин загрузить по верхней ссылке не смог-пишет что уже загружен.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[asgard62rus]

Cдeлал!

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
GroupPolicy\User: Restriction - Chrome <======= ATTENTION
CHR HKU\S-1-5-21-423443234-3148166258-3566805821-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://ru.msn.com/?pc=UP21&ocid=UP21DHP&dt=050513","hxxp://searchfunmoods.com/?f=1&a=vsl&cd=2XzuyEtN2Y1L1QzutDtDtByDtBtBtDzz0FzytDyB0D0AtAtCtN0D0Tzu0CyDtByCtN1L2XzutBtFtBtFtCtFyCtDtBtN1L1Czu1L1G1B2Z1I0R1P1Ozu2X1B1I&cr=448271340&ir=","hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://mail.ru/cnt/10445?gp=821272","hxxp://www.yoursearching.com/?type=hp&ts=1457447835&z=32fef9889d8aa2f75a0b0d3g4zfwfmez7zbm3bbcdt&from=face&uid=WDCXWD5000LPVX-80V0TT0_WD-WXJ1E23HZPU3HZPU3","hxxp://www.yoursites123.com/?type=hp&ts=1457609845&z=c6ee479ff830567491a2755g3zawam0qce8t1b7z5t&from=wpm06023&uid=WDCXWD5000LPVX-80V0TT0_WD-WXJ1E23HZPU3HZPU3","hxxp://mail.ru/cnt/10445?gp=811001","hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqBHYmAHAmC0..&v=20160614&uid=3A666483CADB3DD8C999A71F305342C0&ptid=ftp&mode=loadm","hxxp://mail.ru/cnt/10445?gp=820328","hxxp://www.trotux.com/?z=138e434d2a87da58e60746agfzfm8m9caobg5e1w4q&from=clc&uid=WDCXWD5000LPVX-80V0TT0_WD-WXJ1E23HZPU3HZPU3&type=hp","hxxp://www.trotux.com/?z=9217239f71d11bc0619e5d7g8z1m7m4c0o3o5o2z8z&from=ftp&uid=WDCXWD5000LPVX-80V0TT0_WD-WXJ1E23HZPU3HZPU3&type=hp"
CHR Extension: (PageLiner) - C:\Users\aleks\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-10-24]
CHR Extension: (Chrome Media Router) - C:\Users\aleks\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-24]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
S2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [X] <==== ATTENTION
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
S2 Stecos; C:\Program Files (x86)\Aterkither\Stmisstercultlg.dll [X]
S3 ComputerZ_x64; \??\C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [X] <==== ATTENTION
R1 UCGuard; C:\WINDOWS\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) <==== ATTENTION
2016-10-24 18:31 - 2016-10-24 18:31 - 00000000 ____D C:\Users\aleks\AppData\Roaming\Ludashi
2016-10-24 18:24 - 2016-10-24 18:25 - 00000000 ____D C:\Users\aleks\AppData\Roaming\lockhomepage
2016-10-24 18:24 - 2016-10-24 18:24 - 00002352 _____ C:\Users\aleks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
2016-10-24 18:24 - 2016-10-24 18:24 - 00002352 _____ C:\Users\aleks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ВКонтакте.lnk
2016-10-24 18:24 - 2016-10-24 18:24 - 00002298 _____ C:\Users\aleks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2016-10-24 18:23 - 2016-10-24 18:23 - 00250912 _____ C:\WINDOWS\SysWOW64\kz.exe
2016-10-24 18:20 - 2016-08-02 09:03 - 00081792 _____ (Huorong Borui (Beijing) Technology Co., Ltd.) C:\WINDOWS\system32\Drivers\ucguard.sys
2016-10-24 18:19 - 2016-10-24 18:19 - 00093072 _____ (WinMount International Inc) C:\WINDOWS\system32\Drivers\KuaiZipDrive2.sys
2016-10-24 18:19 - 2016-10-24 18:19 - 00000000 ____D C:\Users\aleks\AppData\Roaming\Softlink
2016-10-24 18:19 - 2016-10-24 18:19 - 00000000 ____D C:\Users\aleks\AppData\Roaming\KuaiZip
2016-10-24 18:02 - 2016-10-24 18:02 - 00000000 ____D C:\Users\aleks\AppData\Roaming\UrlControl_
2016-10-24 17:58 - 2016-10-24 18:58 - 00000000 ____D C:\Users\aleks\AppData\Roaming\Chovle
2016-10-24 17:57 - 2016-10-24 18:18 - 00000000 ____D C:\Users\aleks\AppData\Local\Ghpght
2016-10-24 17:56 - 2016-10-24 18:03 - 00000000 ____D C:\Users\aleks\AppData\Roaming\gplyra
2016-10-20 17:22 - 2016-10-31 12:12 - 00000000 ____D C:\Users\Все пользователи\hdtask
2016-10-20 17:22 - 2016-10-27 17:21 - 00000000 ____D C:\Program Files (x86)\ScreenUp
2016-10-20 17:22 - 2016-10-27 17:15 - 00000000 ____D C:\Users\aleks\AppData\Local\FilterStart
2016-10-20 17:22 - 2016-10-20 17:22 - 00000324 _____ C:\Users\aleks\AppData\Local\expand.ini
2016-10-20 17:19 - 2016-10-24 18:03 - 00000000 ____D C:\Program Files\UBar
C:\Users\aleks\AppData\Local\Temp\Browser_V5.6.14087.902_r_4728_(Build1608021049).exe
C:\Users\aleks\AppData\Local\Temp\inst_buychannel_45.exe
C:\Users\aleks\AppData\Local\Temp\libeay32.dll
C:\Users\aleks\AppData\Local\Temp\ludashisetup.exe
C:\Users\aleks\AppData\Local\Temp\MailRuUpdater.exe
C:\Users\aleks\AppData\Local\Temp\msvcr120.dll
C:\Users\aleks\AppData\Local\Temp\sqlite3.dll
Task: {17EBBFF0-CF71-49F7-B269-008614F7D171} - \Solution Language Manager -> No File <==== ATTENTION
Task: {192EB0E8-0EE2-426C-ACF1-CA5CB5DC0DF1} - \Standart Private Mgr -> No File <==== ATTENTION
Task: {8EF958D2-4565-4B7D-8A94-74566C01F8D0} - \ComputerZLite -> No File <==== ATTENTION
Task: {9948FD98-81F4-4F5E-B5C2-6A3852BE26E6} - \{1095F950-130E-45D2-AA26-5872300BFEFD} -> No File <==== ATTENTION
Task: {A546BF52-900A-481C-8A6C-DA54626C94A4} - \Soft installer -> No File <==== ATTENTION
Task: {D30EA059-6982-4EC7-9BB9-277C776618FA} - \Account Private Mgr -> No File <==== ATTENTION
Task: {E0F0AF77-4F9D-4B2B-87C4-A5A17851252D} - \Atalagelvoy Module -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.