Подозрение на вирус

[Nikola-krug]

Сами устанавливаются неизвестные программы, после удаления снова устанавливаются.

CollectionLog-2015.04.18-09.14.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files (x86)\XTab\SupTab.dll','');
DelBHO('{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}');
QuarantineFile('C:\iexplore.bat','');
QuarantineFile('C:\Users\Администратор\AppData\Local\Yandex\browser.bat','');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat','');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
DeleteService('innfd_1_10_0_14');
SetServiceStart('moguzyvy', 4);
DeleteService('moguzyvy');
SetServiceStart('IHProtect Service', 4);
DeleteService('IHProtect Service');
QuarantineFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','');
QuarantineFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll','');
TerminateProcessByName('c:\program files (x86)\xtab\protectservice.exe');
QuarantineFile('c:\program files (x86)\xtab\protectservice.exe','');
TerminateProcessByName('c:\users\Администратор\appdata\roaming\fb2cc972-1429280169-654e-b5fb-e89a8fccf313\nsnb814.tmpfs');
QuarantineFile('c:\users\Администратор\appdata\roaming\fb2cc972-1429280169-654e-b5fb-e89a8fccf313\nsnb814.tmpfs','');
TerminateProcessByName('c:\program files (x86)\xtab\hpnotify.exe');
QuarantineFile('c:\program files (x86)\xtab\hpnotify.exe','');
TerminateProcessByName('c:\program files (x86)\xtab\cmdshell.exe');
QuarantineFile('c:\program files (x86)\xtab\cmdshell.exe','');
TerminateProcessByName('c:\users\Администратор\appdata\local\host installer\1420349654_monster.exe');
QuarantineFile('c:\users\Администратор\appdata\local\host installer\1420349654_monster.exe','');
DeleteFile('c:\users\Администратор\appdata\local\host installer\1420349654_monster.exe','32');
DeleteFile('c:\program files (x86)\xtab\cmdshell.exe','32');
DeleteFile('c:\program files (x86)\xtab\hpnotify.exe','32');
DeleteFile('c:\users\Администратор\appdata\roaming\fb2cc972-1429280169-654e-b5fb-e89a8fccf313\nsnb814.tmpfs','32');
DeleteFile('c:\program files (x86)\xtab\protectservice.exe','32');
DeleteFile('C:\Program Files (x86)\XTab\BrowerWatchCH.dll','32');
DeleteFile('C:\Program Files (x86)\XTab\IeWatchDog.dll','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat','32');
DeleteFile('C:\Users\Администратор\AppData\Local\Yandex\browser.bat','32');
DeleteFile('C:\iexplore.bat','32');
DeleteFile('C:\Program Files (x86)\XTab\SupTab.dll','32');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.
  
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  
• Прикрепите этот отчет к своему следующему сообщению.
  

 

Сделайте новые логи по правилам

[Nikola-krug]

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

 

Тут я не нашёл куда всё это писать, там только куда вставить файл и почту для ответа и всё.

ClearLNK-18.04.2015_12-04.log

[thyrex]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Nikola-krug]

Сделал

[thyrex]

А второй лог где?

[Nikola-krug]

Извиняюсь, вот второй.

[Roman_Five]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

 

CreateRestorePoint:

Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File

DPF: HKLM-x32 {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} file:///C:/Users/836D~1/AppData/Local/Temp/o3dFEC1.tmp.cab

DPF: HKLM-x32 {810B649C-CEAE-4AC9-BF26-81341B49E913} file:///C:/Users/836D~1/AppData/Local/Temp/o3dEC96.tmp.cab

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.luckysearches.com/?type=sc&ts=1429290120&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

CHR HomePage: Default -> hxxp://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

CHR StartupUrls: Default -> "hxxp://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE"

CHR DefaultSearchKeyword: Default -> luckysearches

CHR DefaultSearchURL: Default -> http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho

CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho

CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx

StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.luckysearches.com/?type=sc&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

R2 mailUpdate; C:\ProgramData\MailUpdate\mailUpdate.exe [777728 2015-03-12] (Skytech Co., Ltd.) [File not signed]

(Skytech Co., Ltd.) C:\ProgramData\MailUpdate\mailUpdate.exe

2015-04-17 22:04 - 2015-04-17 22:04 - 00000000 ____D () C:\Users\Все пользователи\IHProtectUpDate

2015-04-17 22:04 - 2015-04-17 22:04 - 00000000 ____D () C:\ProgramData\IHProtectUpDate

2015-04-17 22:03 - 2015-04-18 11:00 - 00000000 ____D () C:\Program Files (x86)\XTab

2015-04-17 22:03 - 2015-04-17 23:21 - 00000000 ____D () C:\Users\Все пользователи\WindowsMangerProtect

2015-04-17 22:03 - 2015-04-17 23:21 - 00000000 ____D () C:\ProgramData\WindowsMangerProtect

2015-04-17 22:02 - 2015-04-18 14:13 - 00000000 ____D () C:\Users\Все пользователи\MailUpdate

2015-04-17 22:02 - 2015-04-18 14:13 - 00000000 ____D () C:\ProgramData\MailUpdate

2015-04-17 22:02 - 2015-04-18 14:13 - 00000000 _____ () C:\momotor.txt

2015-04-17 22:02 - 2015-04-17 22:02 - 00000000 ____D () C:\Users\Администратор\AppData\Roaming\MailUpdate

2015-04-17 23:08 - 2015-04-17 23:08 - 00613255 _____ (CMI Limited) C:\Users\Администратор\AppData\Local\nsjC794.tmp

2015-04-17 23:08 - 2015-04-17 23:08 - 00000000 __SHD () C:\Users\Администратор\AppData\Roaming\AnyProtectEx

2015-04-17 23:08 - 2015-04-17 23:08 - 00000000 ____D () C:\Program Files (x86)\AnyProtectEx

2015-04-17 19:24 - 2015-04-17 19:24 - 00000008 __RSH () C:\Users\Все пользователи\ntuser.pol

2015-04-17 19:24 - 2015-04-17 19:24 - 00000008 __RSH () C:\ProgramData\ntuser.pol

2015-04-17 19:12 - 2015-04-17 19:12 - 00000115 ____H () C:\Program Files (x86)\punto.bat

2015-04-17 19:12 - 2015-04-17 19:12 - 00000095 ____H () C:\launcher.bat

2015-04-17 19:12 - 2015-04-07 12:25 - 00889976 ____H (Opera Software) C:\lаunсhеr.bаt.exe

2015-04-17 19:12 - 2015-03-23 16:30 - 01427752 ____H (Yandex LLC) C:\Users\Администратор\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe

2015-04-17 19:12 - 2015-03-12 14:13 - 00815272 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe

2015-04-17 19:12 - 2013-11-07 12:39 - 00779792 ____H (The Chromium Authors) C:\Users\Администратор\AppData\Local\сhrоmе.bаt.exe

2015-04-17 19:12 - 2009-03-31 21:23 - 00829736 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe

2015-04-17 19:12 - 2014-09-29 19:15 - 00000154 ____H () C:\Users\Администратор\AppData\Local\BrowserManager.bat

2015-04-17 19:12 - 2014-09-29 19:15 - 00000145 ____H () C:\Users\Администратор\AppData\Local\chrome.bat

2015-04-17 19:12 - 2014-09-29 19:15 - 00000114 ____H () C:\opera.bat

2014-09-29 19:15 - 2014-09-29 19:15 - 0000112 ____H () C:\Program Files (x86)\MCULauncher.bat

2015-04-17 19:12 - 2015-04-17 19:12 - 0000115 ____H () C:\Program Files (x86)\punto.bat

2014-09-29 19:15 - 2014-09-29 19:15 - 0000158 ____H () C:\Users\Администратор\AppData\Roaming\MediaHit.Launcher.bat

2015-04-17 19:12 - 2015-04-17 19:12 - 0000115 ____H () C:\Program Files (x86)\punto.bat

2015-04-17 19:12 - 2009-03-31 21:23 - 0829736 ____H (ООО Яндекс) C:\Program Files (x86)\puntо.bаt.exe

2014-09-29 19:15 - 2014-09-29 19:15 - 0000112 ____H () C:\Program Files (x86)\STLauncher.bat

2014-09-29 19:15 - 2015-04-17 19:12 - 0000145 ____H () C:\Users\Администратор\AppData\Local\chrome.bat

2014-09-29 19:15 - 2015-04-17 19:12 - 0000154 ____H () C:\Users\Администратор\AppData\Local\BrowserManager.bat

2014-03-11 15:02 - 2014-03-11 15:02 - 0004974 _____ () C:\ProgramData\mtbjfghn.xbe

2014-03-11 14:53 - 2014-03-11 14:53 - 0004919 _____ () C:\ProgramData\rznaopga.sea

2013-05-27 15:28 - 2013-05-27 15:28 - 0004988 _____ () C:\ProgramData\yivouaat.sfe

2015-04-17 19:12 - 2015-03-23 16:30 - 1427752 ____H (Yandex LLC) C:\Users\Администратор\AppData\Local\ВrоwsеrМаnаgеr.bаt.exe

2015-04-17 19:12 - 2013-11-07 12:39 - 0779792 ____H (The Chromium Authors) C:\Users\Администратор\AppData\Local\сhrоmе.bаt.exe

C:\Users\Администратор\AppData\Local\Temp\AFE236BE-141A-0CA9-1191-40E04F70471F.exe

C:\Users\Администратор\AppData\Local\Temp\B4AB4F10-9586-AA4D-FC07-8B980982B933.dll

C:\Users\Администратор\AppData\Local\Temp\B4AB4F10-9586-AA4D-FC07-8B980982B933.exe

C:\Users\Администратор\AppData\Local\Temp\Quarantine.exe

C:\Users\Администратор\AppData\Local\Temp\sender.exe

C:\Users\Администратор\AppData\Local\Temp\sqlite3.dll

Task: {796E92A8-6E16-4927-B4B8-06E0B8B1B29C} - \Soft installer No Task File <==== ATTENTION

AlternateDataStreams: C:\ProgramData\TEMP:07BF512B

AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B

HKU\S-1-5-21-3273498943-3169697079-2466330586-500\...\RunOnce: [Adobe Speed Launcher] => 1429348502

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

CHR HKU\S-1-5-21-3273498943-3169697079-2466330586-500\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

SearchScopes: HKU\S-1-5-21-3273498943-3169697079-2466330586-500 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&ts=1429294051&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3273498943-3169697079-2466330586-500 -> Moikrug URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&ts=1429294051&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3273498943-3169697079-2466330586-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&ts=1429294051&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3273498943-3169697079-2466330586-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&ts=1429294051&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3273498943-3169697079-2466330586-500 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&ts=1429294051&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3273498943-3169697079-2466330586-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&ts=1429294051&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-3273498943-3169697079-2466330586-500 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.luckysearches.com/web/?utm_source=b&utm_medium=cmi&utm_campaign=install_ie&utm_content=ds&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&ts=1429294051&type=default&q={searchTerms}

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

HKU\S-1-5-21-3273498943-3169697079-2466330586-500\Software\Microsoft\Internet Explorer\Main,start page = http://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

HKU\S-1-5-21-3273498943-3169697079-2466330586-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.luckysearches.com/web/?type=ds&ts=1429290120&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

HKU\S-1-5-21-3273498943-3169697079-2466330586-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.luckysearches.com/web/?type=ds&ts=1429290120&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

HKU\S-1-5-21-3273498943-3169697079-2466330586-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.luckysearches.com/?type=hp&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE

SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.luckysearches.com/web/?type=ds&ts=1429293911&from=cmi&uid=WDCXWD3200BPVT-00HXZT3_WD-WXU1EB1LCVPELCVPE&q={searchTerms}

EmptyTemp:

Reboot:

 

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

[thyrex]

+ вопрос: расширение Антимат в Хроме сами установили?

[Nikola-krug]

+ вопрос: расширение Антимат в Хроме сами установили?

Нет я не ставил, это ноутбук дочери кто ставил не знаю.

Сделал

[thyrex]

Что с проблемой? 

[Nikola-krug]

Что с проблемой? 

Сейчас проверю

Огромное спасибо за помощь, все левые программы пропали.

[thyrex]

Расширение тоже можно удалить

[Nikola-krug]

Расширение тоже можно удалить

Если можно, подскажите как, там написано Установлено в соответствии с корпоративным правилом.

Изменено 19 апреля, 2015 пользователем Nikola-krug

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

CHR Extension: (Антимат) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\lojlndafeofcppnhanhbejokmgefacjb [2015-04-17]

Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.