[РЕШЕНО] Chrome - постоянно появляются расширения MVPN и adblocker

[lilodes]

Здравствуйте! 

Зацепил, видимо через торренты, малварю - постоянно появляются расширения в браузере MVPN и adblocker, браузер стал часто падать. после удаления через какое то время расширения заного появляются.

CollectionLog-2024.07.08-20.13.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('c:\temp\simpleswitcher v4.167\simpleswitcher.exe','');
 QuarantineFile('C:\Users\User\Documents\task.vbs','');
 DeleteFile('C:\Users\User\Documents\task.vbs','64');
 DeleteSchedulerTask('ChromiumModeUpdate');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1720385766237');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1720385768307');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1720385762092');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1720385764162');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[lilodes]

Выполнено

CollectionLog-2024.07.08-22.32.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[lilodes]

frst64.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1601150949-2405737552-454023739-1000\...\Run: [gt-launcher] => C:\Users\User\AppData\Local\Programs\com.gametop.launcher\gt-launcher.exe [146382336 2024-05-31] (GitHub, Inc.) [Файл не подписан]
HKU\S-1-5-21-1601150949-2405737552-454023739-1000\...\Run: [uTorrentPro] => "C:\Program Files\uTorrentPro\uTorrentPro.exe" (Нет файла)
HKU\S-1-5-21-1601150949-2405737552-454023739-1000\...\MountPoints2: {80a662ee-364a-11ef-b0ad-047c16a9154f} - "E:\HiSuiteDownLoader.exe" 
Task: {2FA20650-0BE7-44FA-A077-EBFEA0BABAC2} - System32\Tasks\SimpleSwitcherTask => c:\Temp\simpleswitcher v4.167\simpleswitcher.exe [4467712 2022-02-12] () [Файл не подписан] <==== ВНИМАНИЕ
File: c:\Temp\simpleswitcher v4.167\simpleswitcher.exe
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hpibddopfjnlikhdokeejjmoicpombpj
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ibnbbfjoicfbohemccblfgblljaambac
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jjhibfhiamecpakjebnimfhkbhjflpni
S3 WINIO; \??\C:\Program Files (x86)\MSI\MSI NBFoundation Service\KernCoreLib64.sys [X]
FirewallRules: [{D0BC825D-F616-4CD4-8AE6-9E7759449C53}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{ACD8F1BC-D573-47C1-845E-C42410A44806}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{9333B538-1216-458D-BE6E-FC664FD697B4}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{FC9E19E3-11E4-4F6B-BED3-29285F6C934A}] => (Allow) C:\Users\User\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[lilodes]

Fixlog.txt

[thyrex]

Что сейчас с проблемой?

[lilodes]

А вы знаете, проблемы нет уже, еще после первого фикса)

Спасибо

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[lilodes]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО.
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft OneDrive v.19.043.0304.0013 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.02 v.6.02 Внимание! Скачать обновления
AIMP v.v5.01.2358, 28.12.2021 Внимание! Скачать обновления
K-Lite Codec Pack 18.4.0 Standard v.18.4.0 Внимание! Скачать обновления
 

и на этом закончим.

[lilodes]

Спасибо еще раз!!!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".