При включении компьютера создаются подложные расширения для браузеров

[Paul Twik]

Здравствуйте! При включении компьютера создаются расширения для некоторых браузеров (у меня их много стоит), а нашёл я такое только на Microsoft Edge и Google Chrome (практически не использую), нашёл случайно. Они браузерами не включились по умолчанию. Расширения изначально были как “Adblock Plus” в количестве 3 штук, но после удаления и на какой-то торрент пошли. Удаляешь — они уходят, но при включении вновь появляются. Тема очень похожа на эту: При включении компьютера устанавливается расширение Adblock Plus (заявка № 229761). Я установил Kaspersky Free и произвёл полное сканирование, прилагаю к посту. Найденные вирусы там прилагаю сюда в отчёте. При быстрой проверке я всё удалил, но при полной часть оставил, зная, что это не то. Остальное всё идёт в формате “not-a-virus”. uTorrent удалил совсем, всё остальное оставил. Лечил только то, что было в быстрой проверке, но там ничего и не нужно было на удаление, кроме того, что было в uTorrent (возможно), но всё было автоматом. Почти всё из найденного точно не является вирусом или рекламой. Я не уверен в DeltaTB.exe (и не помню такое на установку или загрузку). Остальное, что написано как рекламное приложение и находится то в папках YandexBrowser, то в AppData\Local\Temp, а там js-файлы и это уже давние данные, а проблема новая. Разве что это может быть реальными “вирусами”, но остальное добавил в исключения. Помогите исправить, пожалуйста.

[Info_bot]

Уважаемый(ая) Paul Twik, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Node.js сами устанавливали?

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Tasks: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Paul Twik]

Да, Nodejs, сам, конечно, насколько я помню, часть его ставится от Visual Studio, а часть сам дополнительно ставил.
Doctor Web раньше ставил тоже я, странно что, что-то в реестре осталось. Хотя карантин я оставляю.

- - - - -Добавлено - - - - -

Но Node на x86 всё же не ставится сейчас на последней версии с официального сайта (я поставил прямо сейчас последнюю версию). Касперский всё же его тоже, как и Doctor Web на файле main.js удаляет. Судя по датам, он был из Visual Studio, но я сделал удаление у неё и установку заново, в общем на всякий удалил.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Task: {2187A2D9-20A1-4F09-8906-81D79C7F32AB} - System32\Tasks\EdgeUpdate => C:\Windows\system32\cmd.exe [376832 2025-07-08] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
Task: {B43DB673-F3FD-4F5E-9A2C-C5A8ABAABC6C} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [229376 2025-07-08] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs" <==== ВНИМАНИЕ
Task: {ACD95664-2677-4A68-AF50-B89AC921A354} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe  --automatic (Нет файла)
Task: {8765A45C-892E-4186-B172-19416F2C1EF1} - System32\Tasks\NodeUpdateId178458 => C:\Windows\System32\wscript.exe [229376 2025-07-08] (Microsoft Windows -> Microsoft Corporation) -> //nologo //B "C:\Program Files (x86)\Node\nodeupdate.vbs" <==== ВНИМАНИЕ
Task: {74F6C33D-6AFB-488A-A7E2-290937165C92} - System32\Tasks\NodeUpdateId290521 => C:\Windows\System32\wscript.exe [229376 2025-07-08] (Microsoft Windows -> Microsoft Corporation) -> //nologo //B "C:\Program Files (x86)\Node\nodeupdate.vbs" <==== ВНИМАНИЕ
Task: {46998465-C697-488F-A080-C2939FDCEEEC} - System32\Tasks\NodeUpdateId645407 => C:\Windows\System32\wscript.exe [229376 2025-07-08] (Microsoft Windows -> Microsoft Corporation) -> //nologo //B "C:\Program Files (x86)\Node\nodeupdate.vbs" <==== ВНИМАНИЕ
Task: {CE242CBF-2F30-470E-91E1-8DDF065876D1} - System32\Tasks\NodeUpdateId919664 => C:\Windows\System32\wscript.exe [229376 2025-07-08] (Microsoft Windows -> Microsoft Corporation) -> //nologo //B "C:\Program Files (x86)\Node\nodeupdate.vbs" <==== ВНИМАНИЕ
File: C:\Program Files (x86)\Node\nodeupdate.vbs
CMD: type C:\Program Files (x86)\Node\nodeupdate.vbs
CMD: type C:\ProgramData\Microsoft\wext.vbs
C:\ProgramData\Microsoft\wext.vbs
CHR HKU\S-1-5-21-1799040776-2935762580-1222792638-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hkecabaloghleaicfhefejdijblljpco]
C:\Users\pault\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\cldmnknaalgekdfhmcffngiijhipkkof
C:\Users\pault\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\dchjeapmcemjfjlckjhlfhfppepgibgc
C:\Users\pault\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hnfeobbflmjffcbgocboimjepkjnjlgk
2023-05-18 22:44 - 2023-05-18 22:44 - 000028298 _____ () C:\Users\pault\AppData\Local\FC8BC9C7585349038D88EFBEFA120639.Untitled.vbs
FirewallRules: [UDP Query User{62022738-CFF8-4A99-8CA1-AB79C4E2BA3F}C:\games\assassins creed ii\assassinscreediigame.exe] => (Allow) C:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [TCP Query User{6FB01470-FEEF-4466-B9EB-42A40144A20D}C:\games\assassins creed ii\assassinscreediigame.exe] => (Allow) C:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [UDP Query User{60261C72-C215-40AE-AFBF-3A7C26912794}C:\games\assassins creed ii\assassinscreediigame.exe] => (Block) C:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [TCP Query User{5C0B6FBC-D1AB-4BA2-895F-1D8B779B6AFE}C:\games\assassins creed ii\assassinscreediigame.exe] => (Block) C:\games\assassins creed ii\assassinscreediigame.exe => Нет файла
FirewallRules: [UDP Query User{D3229BCF-FCA5-42E5-8D42-791716A7F1D8}C:\users\pault\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\pault\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [TCP Query User{E795D972-07D4-4E37-BD20-A2DB4ADAEC78}C:\users\pault\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\pault\appdata\local\microsoft\teams\current\teams.exe => Нет файла
FirewallRules: [UDP Query User{F33960FF-C4DF-4404-B75D-7680617B60EA}C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\7ca231bb\broker.exe] => (Allow) C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\7ca231bb\broker.exe => Нет файла
FirewallRules: [TCP Query User{9E8A5206-7239-4E10-8553-4C39729DED65}C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\7ca231bb\broker.exe] => (Allow) C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\7ca231bb\broker.exe => Нет файла
FirewallRules: [UDP Query User{FB182933-06FC-4FD2-81A2-58DD2E83A74B}C:\program files\steelseries\gg\steelseriesprismsync.exe] => (Allow) C:\program files\steelseries\gg\steelseriesprismsync.exe => Нет файла
FirewallRules: [TCP Query User{3D520616-47E2-4ACD-9D67-C080AF46BE3D}C:\program files\steelseries\gg\steelseriesprismsync.exe] => (Allow) C:\program files\steelseries\gg\steelseriesprismsync.exe => Нет файла
FirewallRules: [UDP Query User{7C5E1FD6-3741-444A-A986-337482238AC7}C:\program files\steelseries\gg\steelseriesengine.exe] => (Allow) C:\program files\steelseries\gg\steelseriesengine.exe => Нет файла
FirewallRules: [TCP Query User{EBFD5FA7-DDBB-4F50-B860-1C67ECC72118}C:\program files\steelseries\gg\steelseriesengine.exe] => (Allow) C:\program files\steelseries\gg\steelseriesengine.exe => Нет файла
FirewallRules: [UDP Query User{505492C9-9573-420E-B757-B9BB627A1CD8}C:\program files (x86)\origin\origin.exe] => (Allow) C:\program files (x86)\origin\origin.exe => Нет файла
FirewallRules: [TCP Query User{17965F87-77F4-4042-BEF5-36F63AFAEA14}C:\program files (x86)\origin\origin.exe] => (Allow) C:\program files (x86)\origin\origin.exe => Нет файла
FirewallRules: [{0AE30CE5-E3C8-4622-9119-6548B93DB946}] => (Allow) C:\Games\Far Cry 3 Blood Dragon\bin\fc3_blooddragon_d3d11.exe => Нет файла
FirewallRules: [{0542215B-6D8D-4A4C-927E-80337E7CE908}] => (Allow) C:\Games\Far Cry 3 Blood Dragon\bin\fc3_blooddragon_d3d11.exe => Нет файла
FirewallRules: [{869DEC7C-2AFF-41CA-A157-E167EC14191A}] => (Allow) C:\Games\Far Cry 3 Blood Dragon\bin\fc3_blooddragon_d3d11_b.exe => Нет файла
FirewallRules: [{51DCE237-5250-49F4-B495-83713E0061E2}] => (Allow) C:\Games\Far Cry 3 Blood Dragon\bin\fc3_blooddragon_d3d11_b.exe => Нет файла
FirewallRules: [{0CDBEE12-233F-43CD-B7F1-978F84582512}] => (Allow) C:\Games\Far Cry 3 Blood Dragon\bin\fc3_blooddragon.exe => Нет файла
FirewallRules: [{D0C09D85-392F-49C2-9587-592D16ED2B5A}] => (Allow) C:\Games\Far Cry 3 Blood Dragon\bin\fc3_blooddragon.exe => Нет файла
FirewallRules: [UDP Query User{F9B22C66-6E79-4C07-AF97-849E8D914E60}C:\program files (x86)\steam\steamapps\common\lis - remastered\lis\binaries\win64\lis-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\lis - remastered\lis\binaries\win64\lis-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{16AB2B31-B4BC-4373-8C15-57D4D854996A}C:\program files (x86)\steam\steamapps\common\lis - remastered\lis\binaries\win64\lis-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\lis - remastered\lis\binaries\win64\lis-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{89B4176E-A14C-4440-B623-0E80829B252F}C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\17.1.0.309\broker.exe] => (Allow) C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\17.1.0.309\broker.exe => Нет файла
FirewallRules: [TCP Query User{CE2C38C2-0EB0-4B9F-B8AC-EBEDDE2A5249}C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\17.1.0.309\broker.exe] => (Allow) C:\users\pault\appdata\local\temp\xamarin\xma\local\broker\17.1.0.309\broker.exe => Нет файла
FirewallRules: [{A437A486-3881-49ED-B20D-C66A5BDE263A}] => (Allow) C:\Windows\system32\tools\aria2c.exe => Нет файла
FirewallRules: [UDP Query User{09840302-91CB-4E4F-B2A9-2EF051601832}C:\program files\jetbrains\webstorm 2020.2.3\bin\webstorm64.exe] => (Allow) C:\program files\jetbrains\webstorm 2020.2.3\bin\webstorm64.exe => Нет файла
FirewallRules: [TCP Query User{541D9E7F-4F1B-41D7-999A-CB63D769BA65}C:\program files\jetbrains\webstorm 2020.2.3\bin\webstorm64.exe] => (Allow) C:\program files\jetbrains\webstorm 2020.2.3\bin\webstorm64.exe => Нет файла
FirewallRules: [TCP Query User{9E848E55-715F-49B5-B344-ACD0F31FEC8F}C:\games\riseofthetombraider\rottr.exe] => (Allow) C:\games\riseofthetombraider\rottr.exe => Нет файла
FirewallRules: [UDP Query User{B35F7B9A-DF31-43CD-A469-91062B09124D}C:\games\riseofthetombraider\rottr.exe] => (Allow) C:\games\riseofthetombraider\rottr.exe => Нет файла
FirewallRules: [TCP Query User{63206492-0B18-4B5D-8563-0718ED678186}C:\games\borderlands3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\games\borderlands3\oakgame\binaries\win64\borderlands3.exe => Нет файла
FirewallRules: [UDP Query User{EF608D36-EA74-48D9-9DA1-8DF1DEC1C5B2}C:\games\borderlands3\oakgame\binaries\win64\borderlands3.exe] => (Allow) C:\games\borderlands3\oakgame\binaries\win64\borderlands3.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Удалите в браузерах расширение Adblock - бесплатный блокировщик рекламы - если осталось, проверьте, будет ли появляться снова.

Обновите WinRar: Уязвимость в архиваторе WinRAR позволяет обойти метку Mark-of-the-Web.
Обновите 7-Zip: Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора.

[Paul Twik]

Если сообщений увидите много читайте только первый, остальные копии, не могу связаться с модераторами. Не видел я, что сообщения идут на проверку, пока не отправил последнее без файла.

- - - - -Добавлено - - - - -

Здравствуйте! Простите за долгий ответ. Ещё первая часть и возможно работа антивируса помогли с устранением проблемы. Но я всё же проделал ваше второе сообщение. Я вижу в нём основное на "Нет файла", это вполне хорошо удалить. Но меня интересуют строки первые, а вернее на то, на что они могут повлиять. И что там производится в FRST, только закрытие процессов в системе или делается что-то ещё? Удаление, к примеру из реестра? Строки до FirewallRules. Я вижу, что там стоит выше Start - я так понимаю это начало всего процесса и End в конце. Затем CreateRestorePoint - это создание точки восстановления в Windows. Затем идёт CloseProcesses - я так понимаю это именно закрытие процессов с указанием поисков. Если там больше ничего не делается, то это прекрасно. Но затем идут строки:

Код:

File: C:\Program Files (x86)\Node\nodeupdate.vbs

Что производит она? Этой папки нету, я удалил сам Node, оставшиеся части я тоже удалил (они не удалились сразу, т.к. Node был запущен, делать перезагрузку из-за этого мне не хотелось, процессы закрыл и всё оставшееся я удалил).
Что происходит здесь?

Код:

CMD: type C:\Program Files (x86)\Node\nodeupdate.vbs
CMD: type C:\ProgramData\Microsoft\wext.vbs

Тоже удаление? Или перенос? Или сброс какой-то? wext.vbs это не системная ли vbs? Проблем не произойдёт?
А это строка:

Код:

C:\ProgramData\Microsoft\wext.vbs

не на выше стоящую идёт ли? Что она производит?
FirewallRules всё же что делает? Тех файлов у меня уже всех нету. Перевод я знаю, но работу команды тут нет, потому и вопрос.
StartBatch идёт с командой del, вы там весь кеш почистили, окей.

Код:

ipconfig /flushdns

это очистка dns кеша как я понял, ладно.

Код:

sfc /scannow

это проверка системных файлов, тоже ладно.
endbatch - закрытие StartBatch
Reboot - перезагрузка
End - закрытие скрипта.

Также очень хочется спросить о FRST, вы раньше написали о переносе его на рабочий стол, это важно как-то? Ему нужно это расположение по каким-то причинам? Или можно из другого места запустить? Например, папки Downloads в системе.

Кстати, большое спасибо!

[Vvvyg]

Но затем идут строки:

Код:

File: C:\Program Files (x86)\Node\nodeupdate.vbs

Что производит она? Этой папки нету, я удалил сам Node, оставшиеся части я тоже удалил

Я ведь не знал, что он уже удалён, пытался получиь данные о файле, хэш в т. ч.

Что происходит здесь?

Код:

CMD: type C:\Program Files (x86)\Node\nodeupdate.vbs
CMD: type C:\ProgramData\Microsoft\wext.vbs

Попытка распечатать вредоносные файлы, содержимое второго попало в fixlog,txt

А это строка:

Код:

C:\ProgramData\Microsoft\wext.vbs

не на выше стоящую идёт ли? Что она производит?

Удаляет вредоносный файл, он и был одним из виновников подключения левых расширений.

FirewallRules всё же что делает? Тех файлов у меня уже всех нету. Перевод я знаю, но работу команды тут нет, потому и вопрос.

Удаление правил файрвола по отсутствующим файлам, просто чистка мусора.

Также очень хочется спросить о FRST, вы раньше написали о переносе его на рабочий стол, это важно как-то? Ему нужно это расположение по каким-то причинам? Или можно из другого места запустить? Например, папки Downloads в системе.

Не принципиально, откуда его запускать.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.