Вирусная установка программ, расширений, настроек браузера и пр. на Windows 10 64bit [Trojan.Win32.Agent.nevzqe ]

SQ · 02.07.2016, 17:20

Очистите куки, кэш браузеров и кэш DNS (http://virusinfo.info/showthread.php?t=128635)

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**vsh** · 02.07.2016, 18:50

Выполнено. Ситуация без изменений.

SQ · 03.07.2016, 00:06

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
BREG
delref %SystemDrive%\USERS\ANONIMOUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEPAKMLJODOBHLBBKPOBBLNIFMHCLEMH\1.1.2_0\PAGELINER
delref %SystemDrive%\USERS\ANONIMOUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_1\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBFNYN5R-SRTQR4ZPSPGVZX87UB16L9WPE-LNTFZBNYZYLQXNWK5LIZOTMOG5EVE2DRJ8R0YRVQSAM6DBRU4HS-QHTJ5FQDIQYH0RBTJQRCRHT_3AGCPBHSB4PCIJOME6WEMJWSBDUBOACUYZIVDNRFSYVF-AIBND89AIOMTLATGQT
delref %SystemDrive%\PROGRAM FILES\ЇМС№\X64\KZIPSHELL
deltmp
restart

**vsh** · 03.07.2016, 13:53

После выполнения скрипта у PageLiner'а восстановился логотип. Прикладываю лог (папки"ZOO..." не появилось).

SQ · 03.07.2016, 18:57

Приложите новый лог FRST.

**vsh** · 04.07.2016, 00:15

Выполнено.

SQ · 04.07.2016, 00:26

Вы восстанавливали состояние системы?

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR Extension: (PageLiner) - C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-07-03]
Reg: reg delete "HKU\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\apphide2" /f
Reg: reg delete "HKU\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\svchost0" /f
Reg: reg delete "HKU\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\QGuan10in1" /f
Reg: reg delete "HKU\S-1-5-21-453488145-629660601-2547047051-1000\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\QGuan10in12" /f
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**vsh** · 04.07.2016, 01:21

Нет, не восстанавливал. И полное Recovery я не могу сделать, т.к. у меня полетел хард, и в шарашкиной конторке, где я чинился, нормальную recovery area на жесткий диск мне запилить не могли.

ПС
Логотип PageLiner'а опять пропал и вместо него серый значок.

SQ · 04.07.2016, 08:47

Уточните пожалуйста, Вам требуется сохраненная информация профиля Chrome?

Попробуйте переименовать профиль в Chrome тестирования, важно при этом браузер Chrome должен быть выключен/выгружен?

Код:

C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default

на

Код:

C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default.bak

P.S. при этом создастся новый профиль.

**vsh** · 04.07.2016, 13:22

Для меня желательно было бы остаться при старом профиле. Поэтому я лучше воздержусь. Ведь этот ПэйджЛайнер особо не приносит вреда, я правильно понимаю?

SQ · 04.07.2016, 14:23

- Сделайте лог CheckBrowserLnk.

**vsh** · 04.07.2016, 14:38

Выполнено.

SQ · 04.07.2016, 16:49

Как запускаете браузер, с помощью ярлыка?

- Предоставьте лог FRST (только Shortcut.txt).

**vsh** · 04.07.2016, 17:00

Да, с помощью ярлыка.

SQ · 04.07.2016, 23:28

Пробуйте в настройках Chrome в начале отключить дополнение PageLiner, затем выполнить:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
CHR Extension: (PageLiner) - C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default\Extensions\nepakmljodobhlbbkpobblnifmhclemh [2016-07-04]
EmptyTemp:
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**vsh** · 05.07.2016, 10:23

Отключить его нельзя, как и удалить. Но по-моему он и так не работает - когда я нажимаю на его иконку в браузере, дается сообщение, что файл не найден. То есть кроме иконки, наверно, от него ничего и не осталось.

И еще хотел спросить, как Вы считаете, вот этот софт http://djvu.org/resources/ безопасен?

SQ · 05.07.2016, 10:36

Попробуйте, тогда утилиту Chrome cleanup-tool

P.S. Важно перед работой утилиты, сохраните куда нибудь Ваш профиль, для того, чтобы была возможность отката.

Код:

C:\Users\Anonimous\AppData\Local\Google\Chrome\User Data\Default

**vsh** · 05.07.2016, 16:53

Утилита ничего не нашла, сброс настроек Chrome тоже не оказал влияния на PageLiner.

SQ · 06.07.2016, 09:29

Сделайте новый лог uVS, согласно следующей инструкции.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**vsh** · 06.07.2016, 10:32

Выполнено.

Вирусная установка программ, расширений, настроек браузера и пр. на Windows 10 64bit [Trojan.Win32.Agent.nevzqe ] (заявка № 201657)

Опции темы

Похожие темы

Произвольное открытие браузера с рекламой, а также автоматическая установка ненужных программ.

Самопроизвольное открываение Браузера с рекламой, и установка программ

Странное поведение программ, WIndows 8, 64bit

Быстрая установка расширений Firefox

Блокирована установка программ, в т.ч. критических обновлений windows

Ваши права в разделе