При включении компьютера самопроизвольно устанавливается расширение Adblock Plus

[Aaagd]

Здравствуйте!
После перезагрузки компьютера во все браузеры (Яндекс, Chrome, Microsogt edge) самопроизвольно устанавливается расширение Adblock Plus. Удаление расширения не помогает, вскоре оно устанавливается повторно. Прошу помочь избавится от этого расширения.

[Info_bot]

Уважаемый(ая) Aaagd, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\Run: [electron.app.Notion] = C:\Users\Алина\AppData\Local\Programs\Notion\Notion.exe --open-at-login (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7565B7A4-CB41-416D-AB48-3F5686AD33EE} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{99A6136D-D6F0-4E91-91C3-EA2D4E26828E} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Tasks: Browserupdphenix - C:\Users\Алина\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=B2EED48255772A7BDD416602CA6C1EE2FC1968823C3FB472536618C51594ACAA4D5AA26830F4F7D5F07A36E477 --id=1 --sub-id=558 (file missing)
O22 - Tasks: CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe (file missing)
O22 - Tasks: CMPCUAC - C:\Program Files\CleanMyPC\CleanMyPC.exe -fts (file missing)
O22 - Tasks: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks: preventing-prisoners - C:\ProgramData\portion-providence\bin.exe /H (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HP\HP Support Assistant (empty)
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Aaagd]

Сделано

[Vvvyg]

Прошу прощения, упустил тему

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [cmsc] => "c:\program files (x86)\cmcm\Clean Master\cmtray.exe" -autorun (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {71CE082D-A1F8-4159-8737-D82DA694B06B} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-10-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {DCA09E15-F74C-4CF7-B7E0-91306A91C192} - System32\Tasks\SetupVPN => "C:\Program Files (x86)\SetupVPN\SetupVPN.exe"  (Нет файла)
Task: {896741D6-2018-4BA8-93DA-8E0A97DB2F0D} - System32\Tasks\Smart Clock => C:\Users\Алина\AppData\Roaming\Smart Clock\SmartClock.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {392FF13C-3C7C-474F-AB07-2CD0C1E5F1ED} - System32\Tasks\UpdateTorrent => "C:\Users\Алина\AppData\Roaming\utorrent\pro\uTorrentClient.exe"  /T (Нет файла)
C:\Users\Алина\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\fanfkiilebmkingndaoffolndpomipme
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Нет файла]
C:\Users\Алина\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nmmhkkegccagdldgiimedpiccmgmieda
CHR HKU\S-1-5-21-3450011040-3295005137-3065277148-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-3450011040-3295005137-3065277148-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [aemffjkmgcepimloclpkecifcnipnodh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
U4 napagent; отсутствует ImagePath
2025-11-04 00:12 - 2025-11-14 23:57 - 000000000 ____D C:\Users\Алина\AppData\Roaming\uTorrentClient
2025-11-04 00:12 - 2025-11-04 00:12 - 000003432 _____ C:\WINDOWS\system32\Tasks\UpdateTorrent
2025-11-04 00:12 - 2025-11-04 00:12 - 000000970 _____ C:\Users\Алина\uTorrentClient.dat
2025-11-04 00:11 - 2025-11-04 00:11 - 000000000 ____D C:\Users\Алина\AppData\Local\utorrentclient-updater
2025-11-04 00:08 - 2025-11-04 00:08 - 000000970 _____ C:\Users\Алина\setup.dat
CMD: type C:\Users\Алина\AppData\Roaming\install_log.txt
CMD: type C:\Users\Алина\AppData\Roaming\run_helper.vbs
2025-02-22 23:24 - 2025-02-22 23:24 - 000000188 _____ () C:\Users\Алина\AppData\Roaming\install_log.txt
2025-02-22 23:24 - 2025-02-22 23:24 - 000000169 _____ () C:\Users\Алина\AppData\Roaming\run_helper.vbs
2025-02-22 23:24 - 2025-02-22 23:24 - 003825689 _____ () C:\Users\Алина\AppData\Roaming\update_data.zip
CustomCLSID: HKU\S-1-5-21-3450011040-3295005137-3065277148-1001_Classes\CLSID\{5223c9ae-3594-eb1f-244a-222c7fa5cec5}\localserver32 -> "D:\Programs\Proton\ProtonVPN.exe" -ToastActivated => Нет файла
CustomCLSID: HKU\S-1-5-21-3450011040-3295005137-3065277148-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Алина\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3450011040-3295005137-3065277148-1001_Classes\CLSID\{81843de1-cd70-4c5e-bdb6-316862e1d82f}\localserver32 -> hp-sure-sense: => Нет файла
CustomCLSID: HKU\S-1-5-21-3450011040-3295005137-3065277148-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Алина\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3450011040-3295005137-3065277148-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 -> C:\Users\Алина\AppData\Local\Microsoft\OneDrive\20.064.0329.0008\FileCoAuth.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-3450011040-3295005137-3065277148-1001_Classes\CLSID\{9cf617d3-320c-8a4a-273e-5cb814ce5393}\localserver32 -> "D:\Programs\ProtonVPN.exe" -ToastActivated => Нет файла
ContextMenuHandlers1: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} =>  -> Нет файла
ContextMenuHandlers2: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} =>  -> Нет файла
ContextMenuHandlers4: [cm_64bit] -> {69E19770-EA24-49e2-B997-405EDBEF4C05} =>  -> Нет файла
FirewallRules: [{F0571AE7-ED50-47F9-8459-DCECF66AD5E1}] => (Allow) D:\Maxthon5\Bin\Maxthon.exe => Нет файла
FirewallRules: [{4F3D8FE1-C51F-40C4-88AA-6AE36E3F43E1}] => (Allow) D:\Maxthon5\Bin\Maxthon.exe => Нет файла
FirewallRules: [{1F6BFB84-1652-4E77-B11E-E5E862857A17}] => (Allow) C:\Users\Алина\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{339DA543-6D82-488D-AA38-9A1DC0E394FE}] => (Allow) C:\Users\Алина\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{94751EF9-10FB-4F2C-9AE2-AA8546467444}] => (Block) D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe.exe => Нет файла
FirewallRules: [{6B893771-F344-4096-A8E0-988E9724B2A6}] => (Block) D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe.exe => Нет файла
FirewallRules: [UDP Query User{EC98F227-296D-4C40-98D4-CDF7A12B51C4}D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe.exe] => (Allow) D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe.exe => Нет файла
FirewallRules: [TCP Query User{61CB9AB8-6CDA-450E-8B68-360707FEC5EB}D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe.exe] => (Allow) D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe.exe => Нет файла
FirewallRules: [UDP Query User{0FA57D73-1B05-49FF-8712-7DFDA2BEBAE2}D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{3A4F4CAB-C3D0-4EA4-979F-DEB046CDB258}D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{6E8A3F2B-80B6-47C2-8A35-85DC9CCA70BE}D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{3A1AC659-F767-4DE8-85F1-0421D8BE9620}D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{FB956F41-AF95-4330-97CD-FD5BA8BECA18}] => (Allow) C:\Program Files (x86)\Common Files\Apple\Apple Application Support\WebKit2WebProcess.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [UDP Query User{221C6C09-AE4B-40A0-AC22-C7EB05194172}C:\users\алина\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\алина\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [TCP Query User{463A84BF-14E1-4D85-85AA-1FF471EBAB13}C:\users\алина\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\алина\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [{A42CF642-4D42-481E-94F1-B5861BF5D1DA}] => (Allow) C:\Windows\[email protected] => Нет файла
FirewallRules: [{655D6954-10BD-4545-85B4-97333480EB69}] => (Allow) C:\Windows\[email protected] => Нет файла
FirewallRules: [TCP Query User{504DD7C5-0765-4ED9-AA43-33BA1BB771C4}D:\games\cult of the lamb\cult of the lamb.exe] => (Block) D:\games\cult of the lamb\cult of the lamb.exe => Нет файла
FirewallRules: [UDP Query User{5269A458-7174-4E4E-ADAC-85A8213C5E7C}D:\games\cult of the lamb\cult of the lamb.exe] => (Block) D:\games\cult of the lamb\cult of the lamb.exe => Нет файла
FirewallRules: [{7F81A3EC-871E-4B66-B726-4BAE049903AE}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯啜捣硌攮數 => Нет файла
FirewallRules: [{001CDB47-A7D5-4A5C-AA6B-E9D83B7A1152}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{CCA8837F-EBDF-4CD7-BD38-7E097246F0AF}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{21B6AC10-5011-40A7-ABCA-F7C450EA53CF}] => (Allow) 㩃啜敳獲쁜䅜灰慄慴剜慯業杮瑜捯坜䐶⹋硥e => Нет файла
FirewallRules: [TCP Query User{22737167-4B5C-447B-889B-05D25407F45C}D:\programs\zclient.exe] => (Allow) D:\programs\zclient.exe => Нет файла
FirewallRules: [UDP Query User{FEDF07EB-B0C5-47B3-AC70-42DD5385A269}D:\programs\zclient.exe] => (Allow) D:\programs\zclient.exe => Нет файла
FirewallRules: [TCP Query User{8B64EAF1-18C2-4213-9326-CBAC8E850A67}C:\users\алина\appdata\local\discord\app-1.0.9010\discord.exe] => (Block) C:\users\алина\appdata\local\discord\app-1.0.9010\discord.exe => Нет файла
FirewallRules: [UDP Query User{D35B4DE8-CE00-4170-AB42-08C9CE1A6EF9}C:\users\алина\appdata\local\discord\app-1.0.9010\discord.exe] => (Block) C:\users\алина\appdata\local\discord\app-1.0.9010\discord.exe => Нет файла
FirewallRules: [TCP Query User{515B26B2-1923-4C41-98B7-9D257C00B60D}C:\users\алина\appdata\roaming\lantern\lantern.exe] => (Allow) C:\users\алина\appdata\roaming\lantern\lantern.exe => Нет файла
FirewallRules: [UDP Query User{1DE9CF16-D627-4965-BD47-8810D08821EB}C:\users\алина\appdata\roaming\lantern\lantern.exe] => (Allow) C:\users\алина\appdata\roaming\lantern\lantern.exe => Нет файла
FirewallRules: [TCP Query User{DE941985-A497-4773-81E5-7B09163442AF}C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{68A74412-3574-4F1E-BBD4-9A88923CA3B3}C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{7FF8BE95-114A-4286-B100-9F59F84EBB4E}C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{9FCEFA48-EF94-4DD1-B63F-9B43D1BBC959}C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe] => (Block) C:\users\алина\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{68D71F72-CAA3-4C28-B9E0-E740018CA348}C:\users\алина\appdata\roaming\utorrent\updates\3.6.0_46812.exe] => (Block) C:\users\алина\appdata\roaming\utorrent\updates\3.6.0_46812.exe => Нет файла
FirewallRules: [UDP Query User{C0326662-C1BE-442B-BC9E-A4B832FE300A}C:\users\алина\appdata\roaming\utorrent\updates\3.6.0_46812.exe] => (Block) C:\users\алина\appdata\roaming\utorrent\updates\3.6.0_46812.exe => Нет файла
FirewallRules: [TCP Query User{CBB15B4D-217A-4C4C-B623-BE3E2BB31A0C}D:\programs\planetvpn\bin\xray\xray.exe] => (Allow) D:\programs\planetvpn\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{68096A2E-5073-4557-A6A8-A1E4D37338EA}D:\programs\planetvpn\bin\xray\xray.exe] => (Allow) D:\programs\planetvpn\bin\xray\xray.exe => Нет файла
FirewallRules: [TCP Query User{43101D2C-8FCA-478F-A62D-10F6618104D5}C:\users\алина\appdata\local\programs\yandexmusic\яндекс музыка.exe] => (Allow) C:\users\алина\appdata\local\programs\yandexmusic\яндекс музыка.exe => Нет файла
FirewallRules: [UDP Query User{9227324D-751F-4221-B57E-13F0539182E3}C:\users\алина\appdata\local\programs\yandexmusic\яндекс музыка.exe] => (Allow) C:\users\алина\appdata\local\programs\yandexmusic\яндекс музыка.exe => Нет файла
FirewallRules: [{8BDED700-C8AF-4226-A994-24DACB35A83D}] => (Block) C:\users\алина\appdata\local\programs\yandexmusic\яндекс музыка.exe => Нет файла
FirewallRules: [{745ABD6D-DB44-436D-82FA-4FF3D83EDFD1}] => (Block) C:\users\алина\appdata\local\programs\yandexmusic\яндекс музыка.exe => Нет файла
FirewallRules: [TCP Query User{53D46F98-85E5-41A7-862A-4D326583E677}C:\users\алина\appdata\local\programs\weeek\weeek.exe] => (Allow) C:\users\алина\appdata\local\programs\weeek\weeek.exe => Нет файла
FirewallRules: [UDP Query User{C7A37FBC-FAE2-4B4E-8F5D-954ED57F1CE3}C:\users\алина\appdata\local\programs\weeek\weeek.exe] => (Allow) C:\users\алина\appdata\local\programs\weeek\weeek.exe => Нет файла
FirewallRules: [TCP Query User{B15632DF-BD0A-4F21-B553-F3A8F95CB7CC}D:\games\stickybusiness\stickybusiness.exe] => (Allow) D:\games\stickybusiness\stickybusiness.exe => Нет файла
FirewallRules: [UDP Query User{AF47A823-540E-48CA-A1B6-8817CB4947AF}D:\games\stickybusiness\stickybusiness.exe] => (Allow) D:\games\stickybusiness\stickybusiness.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
sfc /scannow
endbatch:
6:24 18.11.2025Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Удалите левые расширения в MS Edge и Chrome, если остались.