При каждом перезапуске компьютера устанавливается фейковое расширение "Adblock Plus"

**Maximer20** · 23.08.2024, 13:39

Здравствуйте!

При каждом перезапуске компьютера устанавливается фейковое расширение "Adblock Plus". Как я понял это случилось после того, как я решил установить игру с торрента. Я так понял это расширение ворует данные Cookie и дважды делает HTTP-запросы к внешним ресурсам.

Перейдя по этим ресурсам я увидел, что часть кода декодируется с помощью window.atob.

Переустанавливать ОС не вариант из-за работы.

Прошу у вас помощи и большое спасибо за потраченное на меня время!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 23.08.2024, 13:40

Уважаемый(ая) Maximer20, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 24.08.2024, 12:54

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe', '32');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe', '64');
 DeleteFile('C:\Users\levsh\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe', '64');
 DeleteFile('c:\users\levsh\appdata\roaming\utorrent\helper\helper.exe', '');
 DeleteFileMask('c:\program files\utorrentpro', '*', false);
 DeleteFileMask('c:\users\levsh\appdata\local\programs\com.gametop.launcher', '*', true);
 DeleteDirectory('c:\program files\utorrentpro');
 DeleteDirectory('c:\users\levsh\appdata\local\programs\com.gametop.launcher');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'uTorrentPro', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'uTorrentPro', '64');
 DeleteSchedulerTask('ICTorrent2UpdaterV1_t1724407808781');
 DeleteSchedulerTask('ICTorrent2UpdaterV2_t1724407810827');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1724407804606');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1724407806706');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\levsh\OneDrive\Рабочий стол\Games\Kenshi.lnk"           -> ["C:\Games\Kenshi\kenshi_GOG_x64.exe"]
>>>  "C:\Users\levsh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DigitalCloud\DigitalCloud.lnk"      -> ["C:\Users\levsh\AppData\Roaming\DigitalCloud\DigitalCloudService.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Maximer20** · 24.08.2024, 16:53

Всё сделал

**Vvvyg** · 24.08.2024, 19:09

Удалите фейковое расширение во всех профилях хрома, больше не должно восстанавливаться. А также в MS Edge - 2 расширения без имени + эти 2:
netSafe: Сохрани свою анонимность!
Adblock Plus - бесплатный блокировщик рекламы - тоже, скорее всего, поддельное. Есть подозрение, что и в яндекс браузере оно присутствует.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Нет файла)
2024-08-23 15:31 - 2024-04-25 23:57 - 000000000 ____D C:\Users\levsh\AppData\Roaming\uTorrentPro
HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"
FirewallRules: [TCP Query User{B7A83998-ECA4-45ED-999E-500A8630BE39}D:\games\factorio\bin\x64\factorio.exe] => (Allow) D:\games\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [UDP Query User{46AAD2B9-B3A6-455A-88A9-E344A07E3430}D:\games\factorio\bin\x64\factorio.exe] => (Allow) D:\games\factorio\bin\x64\factorio.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey: HKU\S-1-5-21-4065896076-628433310-3467765972-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\c478375c-53f5-5dd9-8eae-84f7731c6c1a
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Очистите кеш и cookie:
в Хроме.
В Яндекс.Браузере удалите куки и кэш.
В Microsoft Edge: Параметры -> Конфиденциальность, поиск и службы -> Удалить данные о просмотре веб-страниц -> Удалить данные о просмотре веб-страниц сейчас -> Выбрать элементы для удаления, выберите всё, кроме:
Пароли
Данные автозаполнения форм (включая формы и карточки)
Разрешения для сайта
Диапазон - всё время, нажать "Удалить сейчас".

Java 8 Update 51 (64-bit) обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

Сообщите, что с проблемой.

При каждом перезапуске компьютера устанавливается фейковое расширение "Adblock Plus" (заявка № 228693)

Опции темы