[РЕШЕНО] Возможный вирус (расширение хром)

[thugg]

Обнаружил в браузере расширение SaveVPN. Деактивировал и удалили через хром. Проверил систему с AdwCleaner - ничего не нашлось. Далее решил просканировать с Malwarebytes и тут уже кое что вылезло. Прикрепляю отчет к сообщению.

Хотелось бы узнать, стоит ли беспокоиться. Не могу точно сказать, когда появилось расширение SaveVPN, но какое-то время точно было в хроме. Так же не ясно связано ли это расширение с теми угрозами, которые обнаружил Malwarebytes

SCAN.txt

[thugg]

После проверки Malwarebytes было обнаружено 13 угроз. В картин ничего не кидал. Хочу дождаться ответа.

[mike 1]

Добрый день. Не надо присылать то что у вас не просили.

 

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[thugg]

Извиняюсь за то, что поспешил создать предыдущую тему, не ознакомившись с правилами. Создаю новую (архив с логами прикрепляю).

Обнаружил в браузере расширение SaveVPN. Деактивировал и удалили через хром. Проверил систему с AdwCleaner - ничего не нашлось. Далее решил просканировать с Malwarebytes и тут уже нашлось 13 угроз. В картин ничего не кидал, хочу дождаться ответа.

Хотелось бы узнать, стоит ли беспокоиться. Не могу точно сказать, когда появилось расширение SaveVPN, но какое-то время точно было в хроме. Возможно после скачивания торрент файла. Так же не ясно связано ли это расширение с теми угрозами, которые обнаружил Malwarebytes

CollectionLog-2023.06.22-14.02.zip

Сообщение от модератора thyrex

Темы объединены

 

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[thugg]

Addition.txtСделал

 

FRST.txt

Изменено 22 июня, 2023 пользователем thuggerman

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      

   CreateRestorePoint:
   CloseProcesses:
   Task: {2FF3C845-3093-430F-A064-4A608B7C30F9} - System32\Tasks\Uninstall AdwCleaner Application => C:\Users\German\Downloads\adwcleaner.exe  /uninstall (Нет файла)
   C:\Users\German\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmoiomgmchbpihhdpabemajcbjpcijk

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

 

Браузер Опера используете?

[thugg]

В основном пользуюсь Хромом, но Опера тоже изредка используется. 

Позвольте уточнение, если утилита была запущена с рабочего стола, то fixlist.txt сохранять так же на рабочий стол?

Изменено 22 июня, 2023 пользователем thuggerman

[mike 1]

12 часов назад, thuggerman сказал:

Позвольте уточнение, если утилита была запущена с рабочего стола, то fixlist.txt сохранять так же на рабочий стол?

Да

[thugg]

2 часа назад, mike 1 сказал:

Да

Готово

Fixlog.txt

[mike 1]

Оперу обновите до актуальной версии, а то она похоже у вас генерирует папки вида C:\Program Files\scoped_dir[номер]

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[thugg]

6 часов назад, mike 1 сказал:

Оперу обновите до актуальной версии, а то она похоже у вас генерирует папки вида C:\Program Files\scoped_dir[номер]

 

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

Сделано. оперу обновил, спасибо
 

SecurityCheck.txt

Изменено 23 июня, 2023 пользователем thuggerman

[mike 1]

Исправьте и обновите:

 

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Notepad++ (64-bit x64) v.7.9.2 Внимание! Скачать обновления
Opera Stable 99.0.4788.65 v.99.0.4788.65 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
 

Что с проблемой?

[thugg]

Хорошо, спасибо. Видимой проблемы, которая как-то влияла на работу системы не было. Только неизвестное расширение в хроме. Это все таки был вирус или какой-то рекламный баннер?

Стоит ли еще раз проверить систему через Malwarebytes для спокойствия?

Заранее спасибо!
 

[mike 1]

MBAM при первом вашем скане в основном ругался на uTorrent, но это только ПНП, которое может содержать рекламные модули, не более. Было еще удалено 1 рекламное расширение в Опера. Как таковых вирусов не было.