Установилось новое расширение в браузере Chrome

[NikitaE]

Добрый вечер!
В предыдущей мной открытой теме все вылечили, но сегодня в браузере пропали
все закладки и сохраненные пароли, а также появилось новое расширение.
При заходе на гугл, предлагает ввести капчу и пишет, что есть подозрительный трафик.

Подскажите, что сделать и можно ли восстановить вкладки?

[Info_bot]

Уважаемый(ая) NikitaE, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

HiJackThis (из каталога автологгера) профиксить

Код:

O4 - HKCU\..\Run: [Facebook Update] "C:\Users\Никита\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
O18 - Filter hijack: ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica; charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica; charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica; charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica; charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica; charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica; charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica; charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica;charset=ISO-8859-1 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica;charset=MS936 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica;charset=MS949 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica;charset=MS950 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica;charset=UTF-8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica;charset=UTF8 - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Filter: application/x-ica;charset=euc-jp - {CFB6322E-CC85-4d1b-82C7-893888A236BC} - (no file)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - ScheduledTask: (Ready) FacebookUpdateTaskUserS-1-5-21-1717742244-1599927546-3053767085-1000Core - {root} - C:\Users\Никита\AppData\Local\Facebook\Update\FacebookUpdate.exe /c /nocrashserver
O22 - ScheduledTask: (Ready) FacebookUpdateTaskUserS-1-5-21-1717742244-1599927546-3053767085-1000UA - {root} - C:\Users\Никита\AppData\Local\Facebook\Update\FacebookUpdate.exe /ua /installsource scheduler

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 TerminateProcessByName('c:\users\Никита\appdata\roaming\jcfic\uvconverter.exe');
 StopService('Convxxxx');
 DeleteService('Convxxxx');
 QuarantineFile('C:\ProgramData\Microsoft\IdentityCRL\ppcrlcfg.dll','');
 QuarantineFile('C:\Program Files (x86)\Common Files\Apple\Internet Services\ubd.exe','');
 QuarantineFile('C:\Users\Никита\AppData\Roaming\jcfic\UvConverter.exe','');
 QuarantineFileF('C:\Users\Никита\AppData\Roaming\jcfic', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 QuarantineFile('C:\ProgramData\jdgjc\Gubed.exe','');
 QuarantineFileF('C:\ProgramData\jdgjc', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 DeleteFile('c:\users\Никита\appdata\roaming\jcfic\uvconverter.exe','32');
 DeleteFile('C:\ProgramData\jdgjc\Gubed.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

[NikitaE]

Профиксил, скрипт выполнил, карантин приложил.
Прикладываю отчет.

[mrak74]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

+
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[NikitaE]

Прикладываю файл

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  BHO-x32: AlterGeoBHO Class -> {9BFBA68E-E21B-458E-AE12-FE85E903D2C1} -> C:\Program Files (x86)\AlterGeo\AlterGeo Magic Scanner\3.3.2.779\AlterGeo.BrowserPlugin.dll => No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR Plugin: (Widevine Content Decryption Module) - C:\Users\Никита\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.824\_platform_specific\win_x86\widevinecdmadapter.dll => No File
  CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\55.0.2883.87\PepperFlash\pepflashplayer.dll => No File
  Folder: C:\ProgramData\ttff
  2011-02-07 10:22 - 2011-02-07 10:22 - 0000056 ____H () C:\ProgramData\ezsidmv.dat
  2011-06-05 21:15 - 2011-06-05 21:15 - 0005115 _____ () C:\ProgramData\mtbjfghn.xbe
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1717742244-1599927546-3053767085-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => No File
  Task: {7BA33D1B-2A52-4462-8B9F-FD3FC0ADC6C7} - System32\Tasks\{79F7D473-FC38-4414-99A5-97ADBA8480DA} => pcalua.exe -a C:\Users\Никита\AppData\Roaming\do-search\UninstallManager.exe -c  -ptid=cor
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[NikitaE]

Прикладываю файл

[mrak74]

Что с проблемой ?

[NikitaE]

После перезагрузки всё-равно в браузере появляется расширение, направляет на страничку http://www.funnysearching.com/?type=sp
если закладки не спасти, может переустановить chrome попробовать?

[mrak74]

Отключите все расширения в Chrome, проверьте наличие / отсутствие проблемы, при ее отсутствии, включайте расширения по одному одновременно проверяя проблему. Отпишитесь о результатах.

[NikitaE]

Самое интересное, что расширений в настройках нет, удалил вручную в браузере лишнее через настройки, браузер переустановил, вроде пока ничего подозрительного.

Спасибо

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены