Tiggre!Plock

**olcaesar** · 31.05.2020, 11:10

Добрый день!
В браузере сами по себе открываются страницы. Security essentials обнаружил троян Tiggre!Plock, удалить не смог.
Помогите, пожалуйста

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 31.05.2020, 11:11

Уважаемый(ая) olcaesar, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 31.05.2020, 12:44

Выполните скрипт в AVZ:

Код:

begin
 DeleteService('LiveUpdateSvc');
 DeleteSchedulerTask('{1A278853-472A-468E-AC00-CBCBE3FE818E}');
 DeleteSchedulerTask('{479F72B8-E0FB-4A81-859B-D213A95DD5D7}');
 DeleteSchedulerTask('{4A38AAD6-BFA0-4EDC-9F9D-F981ADAF7C45}');
 DeleteSchedulerTask('{4DF59FF2-90C2-4418-9009-225397392519}');
 DeleteSchedulerTask('{53A8F359-8B63-4C2C-968B-6007620A1821}');
 DeleteSchedulerTask('{69462A28-B839-444D-98E2-6D04F9575F08}');
 DeleteSchedulerTask('{78AB8EEB-3140-47E2-AA43-38D6F747A928}');
 DeleteSchedulerTask('{822CD50F-8732-45E6-8428-1AE76225BDA3}');
 DeleteSchedulerTask('{97F02234-02C8-433A-ABBD-23FF68329838}');
 DeleteSchedulerTask('{B97398AC-520C-4419-BBBD-C03AAB9D90C1}');
 DeleteSchedulerTask('{CF73BE7C-C1AE-4EC2-A24B-D3AA704F701E}');
 DeleteSchedulerTask('{D51E5308-8AFD-4B68-94FA-F9F6DAA386F8}');
 DeleteSchedulerTask('{E08C5B93-7764-4820-BDAC-AA13E971598F}');
 DeleteSchedulerTask('{E3905D17-1004-48A6-8A46-CB5D2288002B}');
 DeleteSchedulerTask('Apple Diagnostics');
 DeleteSchedulerTask('Driver Booster SkipUAC (Lesechka)');
 DeleteSchedulerTask('iToolsDaemon');
 DeleteSchedulerTask('iToolsDaemon.job');
 DeleteSchedulerTask('Uninstaller_SkipUac_Lesechka');
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Lesechka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Отправка в OneNote.lnk"  -> ["C:\Program Files (x86)\Microsoft Office\root\Office16\ONENOTEM.EXE"  =>> /tsr]
>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{99FBF6F4-D4A5-4497-B865-D4FDB8CA40C0}\PlayTasks\0\Blur(TM).lnk"     -> ["D:\Games\Blur(TM)\Blur.exe"]
>>>  "C:\Users\Lesechka\Links\Google Диск.lnk"     -> ["C:\Users\Lesechka\Google Диск"]
>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\0\Играть.lnk"       -> ["D:\Games\Assassin's Creed\AssassinsCreed_Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\1\Регистрация.lnk"  -> ["D:\Games\Assassin's Creed\Register\RegistrationReminder.exe"  =>> -g Assassin's Creed -i 3538]
>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\2\ReadMe.txt.lnk"   -> ["D:\Games\Assassin's Creed\Support\ReadMe\ReadMe.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\3\Руководство к игре.lnk"     -> ["D:\Games\Assassin's Creed\Support\Manual\AssassinsCreed.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{EA7BB189-2A85-48B4-9D34-D79259B9777C}\PlayTasks\4\Проверка совместимости.lnk"           -> ["D:\Games\Assassin's Creed\Detection\Detection.exe"]
>>>  "C:\Users\Lesechka\AppData\Local\Microsoft\Windows\GameExplorer\{B9083E73-6E43-470F-9E2F-3DDB998631C7}\PlayTasks\0\Играть.lnk"          -> ["D:\POPT2T\PrinceOfPersia.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Buka\PopCap Games\Plants vs. Zombies\Удалить Plants vs. Zombies.lnk"    -> ["D:\Games\PlantsvsZombies\Plants vs. Zombies\PopUninstall.exe"  =>> "D:\Games\PlantsvsZombies\Plants vs. Zombies\Install.log"]
>>> [RO] "C:\Users\Lesechka\AppData\Roaming\Microsoft\Excel\Табель%20ВДНХ%204%20февраль305121371017020740\Табель%20ВДНХ%204%20февраль.xlsx.lnk"        -> ["D:\Загрузки\Табель ВДНХ 4 февраль.xlsx"  =>> 50]
>>>  "C:\Users\Lesechka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk"        -> ["C:\Program Files (x86)\Microsoft Office\root\Office16\OUTLOOK.EXE"  =>> /recycle]

Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

**olcaesar** · 01.06.2020, 09:15

Отправляю логи из ClearLNK и AdwCleaner

**Vvvyg** · 01.06.2020, 09:48

Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" ничего не отмечайте.
Затем нажмите Карантин (Quarantine) и по окончании очистки перезагрузите систему по требованию программы.

После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Отключите лишние оповещения в Хроме

Очистите кеш и cookie в Хроме.

Сообщите, что с проблемой.

**olcaesar** · 01.06.2020, 10:50

Лог прикрепляю.
По проблеме пока все ок, но страницы открывались в произвольном временном отрезке, так что гарантий никаких нет.

**Vvvyg** · 01.06.2020, 11:53

Если повторится - сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**olcaesar** · 01.06.2020, 12:45

Спасибо большое за помощь.
Если вдруг что, - отпишусь.

**olcaesar** · 10.06.2020, 17:16

снова вылез(
отправляю логи из FRST

**Vvvyg** · 10.06.2020, 21:21

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: F - F:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {0c96f56e-5a49-11e5-b8e1-ecf4bb9432b3} - G:\autorun.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {1aa2e7ff-5d8e-11e6-97ce-543530e04e84} - E:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {1aa2e80a-5d8e-11e6-97ce-543530e04e84} - F:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {4e40f122-4268-11e7-a544-543530e04e84} - E:\Auto.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {7d72243a-eed1-11e8-b751-543530e04e84} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {ab1b9430-2b70-11e4-bb63-ecf4bb9432b3} - E:\PlantsVsZombiesSetup.exe
HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\...\MountPoints2: {cf98b9d4-801c-11e5-a96f-ecf4bb9432b3} - E:\Autoinstaller.exe
GroupPolicy: Restriction ? <==== ATTENTION
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
CHR HKU\S-1-5-21-4026301585-3677515039-1562190845-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd]
AlternateDataStreams: C:\ProgramData\TEMP:CD30FA91 [356]
FirewallRules: [{50988603-03EC-4632-93CC-3F4E28B74ABF}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{19312868-A776-445B-8BFB-2C7C39085626}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{501895B7-1DAA-43C9-B2E1-F39B77A186E8}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{B9874C2A-AB50-450F-AA26-BA09CCFE96E5}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => No File
FirewallRules: [{6C1EB42E-CD97-46FA-8CE3-4682BEADD5B3}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [{C5E7255B-A1F7-4E0F-BF72-D4FD6643FB5B}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [{BAE9D188-6285-4F1C-A8C0-9B3A8309594D}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [{7225AEEB-02DB-4EAB-8873-0DB15D52E844}] => (Allow) C:\Program Files (x86)\FileZilla FTP Client\filezilla.exe => No File
FirewallRules: [TCP Query User{49AE3381-645C-4458-BA4B-E2F1D4AA118B}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [UDP Query User{11D09258-C462-418B-A6A7-78662603E59F}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [TCP Query User{A2BE8A25-8DF4-46B7-B4E4-863F2EC058D2}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [UDP Query User{E17AEF6C-2210-4EEB-9A20-66564174FAA9}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [TCP Query User{9A0932CE-BB0B-4511-A117-BD7B9EFF01B4}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Block) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [UDP Query User{D45138F3-82B6-4C66-B449-EDDE60524728}D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Block) D:\games\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [TCP Query User{D8915252-6192-4566-A882-EBA1A6D6ADB4}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [UDP Query User{EE955BF6-7204-4E48-ACF4-79B6BD4D3761}D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe] => (Block) D:\games\alice.madness returns + 2 dlc\game\alice2\binaries\win32\alicemadnessreturns.exe => No File
FirewallRules: [TCP Query User{FE4F6064-42E1-4FFB-8364-3AC51C3B0394}D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [UDP Query User{34ED2338-EFA9-4697-B340-042FB4B0374E}D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe] => (Allow) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [{7E94FEA6-FB9E-4F9B-8948-67FEEAF4C7CD}] => (Block) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
FirewallRules: [{95380A0F-D3CC-4B1F-ADD7-49E7FF5C4BE2}] => (Block) D:\r.g. catalyst\life is strange - before the storm\life is strange - before the storm.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите ненужные расширения в Хроме, которые сами не ставили. Остальные временно отключите.
Очистите кеш и cookie в Хроме.
Сделайте эти действия во всех профилях Google Chrome.

По сути у Вас не вирус, а реакция на доступ к различным рекламным и сомнительным ресурсам. Из-за каких-то расширений, либо после хождения по нехорошим сайтам, понять сложно.

**olcaesar** · 11.06.2020, 09:57

Сообщение от Vvvyg

По сути у Вас не вирус, а реакция на доступ к различным рекламным и сомнительным ресурсам. Из-за каких-то расширений, либо после хождения по нехорошим сайтам, понять сложно.

Тоже была такая мысль, но удивляет то, что на другом пк установлен хром с теми же аккаунтами, а соответственно настройками, расширениями и т.п. и таких проблем там не было ни разу.
лог прикрепляю

**Vvvyg** · 11.06.2020, 13:23

Сделайте ещё проверку в Adwcleaner.

**olcaesar** · 11.06.2020, 20:43

готово

**Vvvyg** · 12.06.2020, 07:11

Снова всё удалите в Adwcleaner.

Синхронизация профиля Google используете?

**olcaesar** · 12.06.2020, 09:08

да, синхронизация включена

**Vvvyg** · 12.06.2020, 20:48

Из-за неё и возвращается проблема. Как это лечить не выходя из учётки - я не знаю, Гугл, похоже, тоже.

**olcaesar** · 13.06.2020, 10:52

что ж, суть ясна... ладно, посмотрю, как будет себя вести дальше.
еще раз спасибо огромное!

**Vvvyg** · 13.06.2020, 13:24

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.