открывается Вулкан в Google Chrome. Помогите пожалуйста [not-a-virus:RiskTool.NSIS.ExtInstall.d ]

**HalkSM** · 20.01.2017, 13:12

Применял уже все антивирусы, что мог. Пожалуйста посодействуйте.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.01.2017, 13:13

Уважаемый(ая) HalkSM, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 21.01.2017, 16:17

Здравствуйте,

HiJackThis (утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\) профиксить

Код:

O2 - BHO: TSearch - {6E727987-C8EA-44DA-8749-310C0FBE3C3E} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [8908D2FB766BFED67322AF41058132E0SB] "C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe" /S --safebrowser
O4 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files (x86)\Common Files\90E5A8EF-5FCC-4B41-BEEA-3853816D4950\BF14FAC9-6EAF-4BA6-8399-5E12D03AA63B.exe" /S
O4 - HKLM\..\Policies\Explorer\Run: [extsetupSB] "C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser
O4-32 - HKLM\..\Policies\Explorer\Run: [8908D2FB766BFED67322AF41058132E0SB] "C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe" /S --safebrowser
O4-32 - HKLM\..\Policies\Explorer\Run: [AppDownloads] "C:\Program Files (x86)\Common Files\90E5A8EF-5FCC-4B41-BEEA-3853816D4950\BF14FAC9-6EAF-4BA6-8399-5E12D03AA63B.exe" /S
O4-32 - HKLM\..\Policies\Explorer\Run: [extsetupSB] "C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) 8908D2FB766BFED67322AF41058132E0 - \Microsoft - "C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 8908D2FB766BFED67322AF41058132E0 - \Microsoft\Windows - "C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe" /S --setresetup
O22 - ScheduledTask: (Ready) 8908D2FB766BFED67322AF41058132E0SB - \Microsoft - "C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) 8908D2FB766BFED67322AF41058132E0SB - \Microsoft\Windows - "C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe" /S --safebrowser
O22 - ScheduledTask: (Ready) crophit - {root} - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://crophit.ru/wizard
O22 - ScheduledTask: (Ready) extsetupSB - \Microsoft - "C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser (file missing)
O22 - ScheduledTask: (Ready) extsetupSB - \Microsoft\Windows - "C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe" /S --safebrowser (file missing)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Program Files (x86)\Common Files\90E5A8EF-5FCC-4B41-BEEA-3853816D4950\BF14FAC9-6EAF-4BA6-8399-5E12D03AA63B.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe','');
 QuarantineFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe','');
 DeleteFile('C:\Program Files (x86)\Common Files\90E5A8EF-5FCC-4B41-BEEA-3853816D4950\BF14FAC9-6EAF-4BA6-8399-5E12D03AA63B.exe','32');
 QuarantineFileF('C:\Program Files (x86)\Common Files\90E5A8EF-5FCC-4B41-BEEA-3853816D4950', '*.exe,*.dll,*.sys, *.pif', false,'', 0, 0);
 DeleteFile('C:\Users\admin\AppData\Local\Microsoft\49B7F6E77AF40808A38DAEF3349699A7\8132E05014FA22376DEFB667BF8908D2.exe','32');
 DeleteFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8908D2FB766BFED67322AF41058132E0" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\8908D2FB766BFED67322AF41058132E0SB" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetupSB" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8908D2FB766BFED67322AF41058132E0" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\8908D2FB766BFED67322AF41058132E0SB" /F', 0, 15000, true); 
 ExecuteFile('schtasks.exe', '/delete /TN "crophit" /F', 0, 15000, true); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','8908D2FB766BFED67322AF41058132E0SB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AppDownloads');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
 DeleteFileMask('C:\Program Files (x86)\Common Files\90E5A8EF-5FCC-4B41-BEEA-3853816D4950', '*', true, ' ');
 DeleteDirectory('C:\Program Files (x86)\Common Files\90E5A8EF-5FCC-4B41-BEEA-3853816D4950');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**HalkSM** · 23.01.2017, 11:35

Здравствуйте,
приложил лог

SQ · 23.01.2017, 18:11

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**HalkSM** · 23.01.2017, 18:27

Все сделал. Я ранее удалил Chrome и Opera, теперь попробую восстановить. Надеюсь эта зараза больше не появится.
Огромное вам спасибо!!!

**mrak74** · 23.01.2017, 20:30

Отпишитесь что с проблемой, если продолжает воспроизводиться

Сообщение от HalkSM

Я ранее удалил Chrome и Opera, теперь попробую восстановить.

Даже после этого. Сделайте:

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**HalkSM** · 24.01.2017, 12:18

готово.
пока на Opera все гладко)

- - - - -Добавлено - - - - -

В опере теперь открывается httр://searchstart.ru/?utm_source=extension&utm_medium=ext вместо стандартной страницы

- - - - -Добавлено - - - - -

Сейчас все работает без всплывающих окон и других проблем.
Помониторю еще, но думаю, что все.
Огромное спасибо вашей команде за помощь. Буду рекомендовать!

**mrak74** · 24.01.2017, 13:15

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-961963880-1730402590-2313793270-1000\...\MountPoints2: {e0f4ae47-6e23-11e4-8b0c-806e6f6e6963} - D:\Bin\ASSETUP.exe
HKU\S-1-5-21-961963880-1730402590-2313793270-1000\...\MountPoints2: {ffd9973c-86d6-11e6-9f01-e0cb4eba1670} - F:\HTC_Sync_Manager_PC.exe
GroupPolicy: Restriction - Windows Defender <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
OPR Extension: (SearchWay) - C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2017-01-19]
OPR Extension: (News Tab) - C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-10-27]
OPR Extension: (Google Sheets) - C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\bapebekcapehfapcilombbgepgedmnmn [2016-10-27]
OPR Extension: (BoxChrome) - C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\mfgdmpfihlmdekaclngibpjhdebndhdj [2016-12-02]
Task: {90888354-6CC5-4443-BE06-73A1EFEF4EBA} - \Microsoft\Windows\A52EE2E17-D83F-489A-9CDC-0570A4D0CBBE -> No File <==== ATTENTION
Task: {FA0EA07B-C4C1-4B73-955B-8A14B9AE5F7F} - \Kinoroom Browser -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk -> C:\Windows\explorer.exe (Microsoft Corporation) -> "hxxp://merepen.ru/?utm_source=startlink03&utm_content=a7ee07254b5da0497553529135f65d48&utm_term=0BCF74DD96EC664157671112CF1BB737&utm_d=20160602"
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**CyberHelper** · 24.01.2017, 13:25

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

открывается Вулкан в Google Chrome. Помогите пожалуйста [not-a-virus:RiskTool.NSIS.ExtInstall.d ] (заявка № 208334)

Опции темы