В папке C:\Users\...\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ постоянно появляется то папка "\pbaifoaigacjpcmpdjhdciipjmcfgmnp\19.24_0" то папка "\anmkfofmmdjecokpjpmcegdjfalonllb\19.24_0" с неким непонятным мне расширением, которое я не устанавливал.
Судя по файлу \19.24_0\manifest.json, это расширение имеет имя: "name":"Snet: Сохрани свою анонимность!","version":"19.24","description":"Sne t: Оставайся инкогнито в интернете!","homepage_url":"https://snet-vpn.ru/"
Более того, удивительно, но данное расширение не отображается в разделе "Управление расширениями" - edge://extensions/
Эти же файлы присутствуют в папке C:\Users\...\AppData\Local\Temp\
При чем большинство антивирусов в этих файлах ничего не находят.
При удалении папки "\pbaifoaigacjpcmpdjhdciipjmcfgmnp\19.24_0" или "\anmkfofmmdjecokpjpmcegdjfalonllb\19.24_0" после перезагрузки компьютера эти паки с расширением снова появляются.
К тому же в папке С:\Users\...\Documents\ при каждой перезагрузке появляются файлы: task.vbs и task.xml. Если эти файлы удалить, то при каждом открытии новой вкладки в браузере, появляется окно Windows Script Host с ошибкой: Не удается найти файл сценария "С:\Users\...\Documents\task.vbs".
При каждой перезагрузке также в Планировщике заданий появляется задача с именем: ChromiumModeUpdate и Действием: Запуск программы: C:\Windows\System32\wscript.exe C:\Users\...\Documents\task.vbs
Удаление задачи не помогает, после перезагрузки она снова появляется.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Alfizik0, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {AE2D8A6D-28CF-44AF-866E-23E1D9329CB2} - System32\Tasks\ChromiumModeUpdate => C:\Windows\System32\wscript.exe [170496 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\Home\Documents\task.vbs <==== ВНИМАНИЕ
CMD: type C:\Users\Home\Documents\task.vbs
C:\Users\Home\Documents\task.vbs
2024-05-28 20:00 - 2024-05-28 20:00 - 000788410 _____ C:\Users\Home\Documents\pbaifoaigacjpcmpdjhdciipjmcfgmnp.zip
C:\Users\Home\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\pbaifoaigacjpcmpdjhdciipjmcfgmnp
FirewallRules: [TCP Query User{473FD13F-D8D3-42A5-8001-44AB907AC978}C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe => Нет файла
FirewallRules: [UDP Query User{EAFB11B3-272E-4343-A976-36CA52BA60C2}C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x86.exe => Нет файла
FirewallRules: [TCP Query User{2517E784-7654-402C-9E38-1B8691FF88C8}C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe => Нет файла
FirewallRules: [UDP Query User{85B9A288-55D2-419A-8171-C33A5E37C18F}C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe] => (Block) C:\program files (x86)\return to castle wolfenstein\realrtcw.x64.exe => Нет файла
FirewallRules: [TCP Query User{FB0B67CF-F658-4C72-A99C-93BFB12DC15F}D:\games\realrtcw\realrtcw\realrtcw.x64.exe] => (Block) D:\games\realrtcw\realrtcw\realrtcw.x64.exe => Нет файла
FirewallRules: [UDP Query User{EC7F445F-E7F6-4D45-85F8-255BA08BF8A5}D:\games\realrtcw\realrtcw\realrtcw.x64.exe] => (Block) D:\games\realrtcw\realrtcw\realrtcw.x64.exe => Нет файла
FirewallRules: [TCP Query User{001C1C6B-ED23-4870-A2A2-834C9BE362F4}D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe] => (Block) D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe => Нет файла
FirewallRules: [UDP Query User{92F8346D-7CF6-493F-AE27-EB59470109E8}D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe] => (Block) D:\games\realrtcw\return to castle wolfenstein\wolfmp.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Vvvyg, скопировал в буфер обмена код, запустил FRST.EXE/FRST64.EXE, исправить, компьютер перезагрузился.
Только не понял в чем суть копирования кода, если его никуда не вставить при этом?...
Что поменялось, да в принципе ничего не поменялось...
1. Что НЕ Изменилось:
В папке С:\Users\...\Documents\ после перезагрузки по прежнему файлы: task.vbs и task.xml.
Если удалить эти файлы в ручную, то снова при каждом открытии новой вкладки в браузере, появляется окно Windows Script Host с ошибкой: Не удается найти файл сценария "С:\Users\...\Documents\task.vbs".
По прежнему в Планировщике заданий присутствует задача с именем: ChromiumModeUpdate и Действием: Запуск программы: C:\Windows\System32\wscript.exe C:\Users\...\Documents\task.vbs
2. Что изменилось:
В папке C:\Users\...\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ теперь уже новая папка \ppfmpmlgeoniceaahcgffcmmceaicpaj\31.38_0\
В остальном в ней те-же самые зараженные файлы:
manifest.json
\31.38_0\script\bg.js
\31.38_0\script\install.p.bundle.js
\31.38_0\script\page.bundle.js
\31.38_0\script\settings.bundle.js
\31.38_0\script\tool.p.bundle.js
Разве что в файле \31.38_0\manifest.json, поменялось имя расширения: "name":"Fnet - Доступ к сайтам!","version":"31.38","description":"Доступ к вашим любимым сайтам!","homepage_url":"https://fnet-vpn.ru/"
Последний раз редактировалось Alfizik0; 31.05.2024 в 00:59.
После очередной перезагрузки в браузере в "Управление расширениями" (edge://extensions/) стало отображаться это вредительское расширение. Отключил и затем удалил его.
При помощи антивируса проверил и удалил зараженные файлы в папке C:\Users\...\AppData\Local\Temp\ext-ciz48J\extension\
Удалил в Планировщике заданий задачу с именем: ChromiumModeUpdate и Действием: Запуск программы: C:\Windows\System32\wscript.exe C:\Users\...\Documents\task.vbs
Удалил в папке С:\Users\...\Documents\ файлы: task.vbs и task.xml.
После чего сделал сброс в браузере Edge - Сбросить настройки ==> Восстановить стандартные настройки.
После сброса Edge, он автоматически проверил обновления и обновился до следующей версии. Не знаю может это было просто совпадение, а может зловредное приложение не давало обновляться браузеру.
После чего 1-2 дня все было нормально. Ничего подозрительного не появлялось. Но затем при очередной работе браузер Edge, он внезапно сам собой завершил работу. Запустил его заново, появилось пустая начальная страница и браузер Edge, сообщил что была некорректно завершена работа и предложил восстановить ранее открытые вкладки.
И вот после запуска Edge, после внезапного завершения его работы. Все снова вернулось как было прежде - появилось вирусное расширение, файлы: task.vbs и task.xml в папке Documents, задача ChromiumModeUpdate в Планировщике заданий. И снова зараженные файлы в папках:
C:\Users\...\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\
C:\Users\...\AppData\Local\Temp\
Вот что и удивляет, что никаких программ не запускал, ничего не устанавливал, и даже ничего не скачивал из интернета.
Только открывал закладки в браузере и читал статьи в Дзене.
Попробуйте отследить, какая программа создаёт файлы расширений и скрипт task.vbs.
Загрузите Sysinternals Suite, распакуйте и запустите Procmon.exe. Меню Filter -> Filter..., в строке Display entries matching these conditions:Path contains впечатываете [искомое (task.vbs, например) then Include, далее Add, Apply и OK.
Procmon дал результат!
Зловредные файлы (вирусное расширение в Edge) и задачу ChromiumModeUpdate в Планировщике заданий создает программа: "C:\Users\...\AppData\Local\Programs\com.gametop.l auncher\gt-launcher.exe" /LHS
Через Панель управления => Программы => Программы и компоненты, удалил программу gt-launcher.
После чего удалил ставшую пустой папу C:\Users\...\AppData\Local\Programs\com.gametop.la uncher
После чего в Планировщике заданий обратил внимание на две задачи, так как стало видно пометку File not found.
2.
Имя: \ICTorrentUpdaterV2
Тригер: Частота повтора после начала 04:00:00 без окончания
Действие: C:\Users\...\AppData\Local\Programs\com.gametop.la uncher\gt-launcher.exe /LHS
Удалил эти задачи.
Что еще стоит поискать и почистить? Может что то в реестре?
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Ответить с цитированием
