Chrome вирусы ?

[Павел Миронов]

После запуска, да и во время работы выскакивают сообщения NOD, что в папке temp найдены какие то опасности. Папку чистил, не помогает
Наверное что то залетело...

[Info_bot]

Уважаемый(ая) Павел Миронов, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PowerShell\Windows PowerShell.lnk"   (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows PowerShell\Windows PowerShell ISE.lnk"         (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Run.lnk"    (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\File Explorer.lnk"    (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Devices.lnk"          (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Default Apps.lnk"     (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Control Panel.lnk"    (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\computer.lnk"         (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Tools\Command Prompt.lnk"   (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"        (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"        (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Magnify.lnk"         (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"          (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk"  (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk"    (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\10 - Programs and Features.lnk"    (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"          (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\08 - Power Options.lnk"  (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\07 - Event Viewer.lnk"   (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\06 - System.lnk"         (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\05 - Device Manager.lnk" (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\04-1 - Network Connections.lnk"    (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\04 - Disk Management.lnk"          (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\03 - Computer Management.lnk"      (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\02a - Windows PowerShell.lnk"      (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\02 - Command Prompt.lnk" (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\01a - Windows PowerShell.lnk"      (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group3\01 - Command Prompt.lnk" (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group2\5 - Task Manager.lnk"    (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group2\4 - Control Panel.lnk"   (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group2\3 - Windows Explorer.lnk"          (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group2\2 - Search.lnk"          (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group2\1 - Run.lnk"   (содержит только знаки NUL)
- "C:\Users\tokarilo\AppData\Local\Microsoft\Windows\WinX\Group1\1 - Desktop.lnk"         (содержит только знаки NUL)
>>>  "C:\Users\HP\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.amazon.venezia.lnk"     -> ["C:\ProgramData\BlueStacks\UserData\TileData\000001\Launcher.vbs"]
>>>  "C:\Users\HP\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.pop.store.lnk"          -> ["C:\ProgramData\BlueStacks\UserData\TileData\000002\Launcher.vbs"]
>>>  "C:\Users\HP\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\by.mojang.belain.mcpe2.lnk"           -> ["C:\ProgramData\BlueStacks\UserData\TileData\000007\Launcher.vbs"]
>>>  "C:\Users\Public\Desktop\Minecraft - World of Tanks.lnk"          -> ["C:\Users\Public\AppData\Roaming\.minecraft\Minecraft Launcher.exe"]

Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] = C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (file missing)
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] = C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (file missing)

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.

Сделайте лог Malwarebytes AdwCleaner.

[Павел Миронов]

Все сделал как сказали, java удалил

[Vvvyg]

Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies".
Затем нажмите Карантин (Quarantine) и по окончании очистки перезагрузите систему по требованию программы.

После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[CXX].txt, прикрепите к своему следующему сообщению.

Скриншот сообщения Eset о вирусах прикрепите, а лучше, так (могут быть различия в зависимости от версии).

Перейдите в расширенный режим настроек: нажмите расположенную в левом нижнем углу ссылку "Переключатель расширенного режима" (Toggle Advanced mode) или нажмите Ctrl+M. Далее по меню:

Антивирус -> служебные программы -> файлы журнала;
В списке журналов выбрать "Обнаруженные угрозы", курсор на записи журнала;
Правой кнопкой мыши в контекстном меню пункт "Экспорт", в диалоге сохранения файла устанавливаем тип файла txt и сохраняем файл сименем, например, угрозы.txt.
Прикрепите этот файл к следующему Вашему сообщению в теме.

Система = Windows 10 Enterprise 2016 LTSB - обновляется? Другие компьютеры есть в локальной сети?

[Павел Миронов]

Сделал что смог, в настройках eset не нашёл что требовалось. Вылезли 3 сообщения от eset. Скрины в архиве.

[Vvvyg]

Это на расширение Яндекс советник реакция. Удалите, или игнорируйте предупреждение.

Очистите кеш и cookie:
в Хроме.
в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

[Павел Миронов]

Система = Windows 10 Enterprise 2016 LTSB - обновляется? Другие компьютеры есть в локальной сети?

Как раз ltsb стоит на другом устройстве, и вроде как давно не обновлялась, но других проблем не наблюдается. Может тот гаджет тоже стоит проверить ?

[Vvvyg]

В отдельной теме, если есть нужда.

[Павел Миронов]

Окна от eset продолжают выскакивать, яндекса не нашёл на пк

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Павел Миронов]

Все сделал

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKU\S-1-5-21-895424084-1711161592-3947751879-1001\...\Run: [uTorrent] => C:\Program Files\uTorrent\uTorrent.exe [823808 2017-09-30] (BitTorrent, Inc.) [File not signed]
HKU\S-1-5-21-895424084-1711161592-3947751879-1001\...\MountPoints2: {047096fd-0c12-11e9-9f91-c80aa90cb675} - "D:\OnePlus_setup.exe" /s
HKU\S-1-5-21-895424084-1711161592-3947751879-1001\...\MountPoints2: {312e7360-0a54-11ea-9fc7-c80aa90cb675} - "D:\AutoRun.exe" 
HKU\S-1-5-21-895424084-1711161592-3947751879-1001\...\MountPoints2: {5e7361a1-882e-11ea-9fdc-c80aa90cb675} - "J:\OnePlus_setup.exe" /s
HKU\S-1-5-21-895424084-1711161592-3947751879-1001\...\MountPoints2: {ad2729bf-fbc0-11ea-9feb-c80aa90cb675} - "G:\OnePlus_setup.exe" /s
HKU\S-1-5-21-895424084-1711161592-3947751879-1001\...\MountPoints2: {e9b27475-fdf1-11e8-9f8b-c80aa90cb675} - "G:\OnePlus_setup.exe" /s
HKU\S-1-5-21-895424084-1711161592-3947751879-1001\...\MountPoints2: {fa241a62-70a8-11e9-9fa5-c80aa90cb675} - "G:\HiSuiteDownLoader.exe" 
CHR HKLM\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni]
CHR HKU\S-1-5-21-895424084-1711161592-3947751879-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
S3 ute5nzcx; C:\Windows\system32\Drivers\ute5nzcx.sys [7168 2020-09-29] () [File not signed]
CustomCLSID: HKU\S-1-5-21-895424084-1711161592-3947751879-1001_Classes\CLSID\{8C63D4B8-CF89-4527-B10F-99914B6C207F}\localserver32 -> no filepath
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
c:\users\hp\AppData\Local\Temp\*.*
Reboot:
End::

Закройте все браузеры, отключите до перезагрузки антивирус. Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кеш и cookie:
в Хроме.
в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".

Если не поможет - отключите все расширения в Chrome, проверяйте эффект.
Сообщите результат.

[Павел Миронов]

После перезагрузки и открытия chrome вылезли два окна eset, почистил кэш и куки , пока не вылазило ничего, понаблюдаю

[Павел Миронов]

Сейчас всё сало хорошо, спасибо Вам большое !!!

[Vvvyg]

Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.