[РЕШЕНО] Неизвестное расширение в Google Chrome.

[Kataomi_3232]

Здравствуйте. После установки игры с неизвестного источника моим родственником, браузер Google Chrome начал 2-3 раза в день вылетать, при попытке зайти в настройки и например удалить историю он стал выдавать - некоторые настройки были изменены сторонним приложением, браузер вернул их по умолчанию. Еще что я заметил, это то, что окошко где находятся расширения после всех этих манипуляций всегда самостоятельно переходили в режим разработчика. Но буквально 30 минут назад на моих глаза из ни откуда появилось расширение torrent scanner, оказывается оно все это время существовало и во встроенном браузере от windows (microsoft edge) Благодаря беседе с одним модератором на форуме касперского, он сообщил мне что стоит обратиться сюда и что расширение установилось локально.

CollectionLog-2025.05.06-22.58.zip

Изменено 6 мая пользователем Kataomi_3232

[Kataomi_3232]

UPD:
Утилита Dr.web Curelt! нашла такую охапку (проводил проверку еще до создания поста)
Было принято решение поместить подозрительные файлы (последние 4) в корзину и удалить в ручную расширение в обоих браузерах. На данный момент браузеры работают нормально, но заметил просадки фпс в игре Dota 2 (Пк 12400f + 3060, раньше не было)

Изменено 7 мая пользователем Kataomi_3232

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\nodejs\nodeupdate.vbs', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 DeleteSchedulerTask('MyNode');
 DeleteSchedulerTask('OperaUpdateTask');
 DeleteFile('C:\Program Files (x86)\nodejs\nodeupdate.vbs', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[Kataomi_3232]

Addition.txt FRST.txt

 

К слову о скрипте выше, я же перекинул еще ночью зараженные файлы в корзину (не удалял) сработают ли команды удаления по обычному пути?

[Sandor]

Да, вижу, что в свежих логах нет ни файлов, ни запускающих их задач. Значит можно было и не выполнять скрипт. Впрочем, ошибки не было, даже при их отсутствии.

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {55EB8F76-6466-44E2-A3F7-38B8D3AEF0B0} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
  Task: {72CA5476-9B34-48D4-90D6-36DCEB644AE7} - System32\Tasks\OperaUpdate => C:\Windows\system32\cmd.exe [289792 2024-05-17] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
  C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\jghgnonmoilljhamamlehdopdhkmkefn
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mdcpdoglbfbdehamemajlpopaomfeeah
  S3 HWiNFO_173; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_173.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_174; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_174.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_180; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_187; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_187.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_190; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_190.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_191; \??\C:\Users\user\AppData\Local\Temp\HWiNFO64A_191.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_204; \??\C:\Users\user\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
  File: C:\Users\user\nodejs.dat
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk:74809202C5 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Immersive Control Panel.lnk:DC8F23BC3A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [3442]
  AlternateDataStreams: C:\Users\user\AppData\Local\Temp:$DATA [16]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Kataomi_3232]

Fixlog.txt

[Sandor]

Хорошо. Внешне сейчас какие-то проблемы есть?

[Kataomi_3232]

Браузеры с ночи работают хорошо, вылетов не наблюдалось. По просадкам в доте пока не могу сказать, нужно проверить.
После проверки запущу dr.web и скину результаты, если это конечно необходимо.
А так спасибо вам огромное за помощь.

[Sandor]

23 минуты назад, Kataomi_3232 сказал:

запущу dr.web и скину результаты

Сделайте, не помешает. Повторное сканирование KVRT тоже сделайте.

 

Завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Kataomi_3232]

Извините за долгий ответ.
Вот логи полной проверки dr.web Curelt! - https://disk.yandex.ru/d/dkvmZ8mgynE-aw
Что касается KVRT, то отчеты тут защифрованны, попытался исполнить в cmd команду ./kvrt.run -- -dontencrypt (как указано на сайте) пишет - не является внутренней или внешней командой, исполняемой программой или пакетным файлом.
Логи SecurityCheck прикрепил. Просадки в доте пропали, браузеры работают нормально.
 

SecurityCheck.txt

[Sandor]

Логи были не обязательны, раз нет обнаружений. А то, что отчёт KVRT зашифрован, для нас не помеха

 

Исправьте по возможности:

 

 

Kaspersky v.21.20.8.505 Внимание! Скачать обновления
CrystalDiskInfo 9.2.3 v.9.2.3 Внимание! Скачать обновления
Paint.NET v.5.1.2 Внимание! Скачать обновления
GIMP 2.10.38-1 v.2.10.38 Внимание! Скачать обновления
FastStone Image Viewer v.7.3 Внимание! Скачать обновления
Skype v.8.50.0.38 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Security Update for Skype for Business 2016 (KB4011159) 32-Bit Edition Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
Microsoft Skype for Business MUI (Russian) 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком.. Рекомендуется использовать Microsoft Teams.
µTorrent v.3.6.0.46900 Внимание! Клиент сети P2P с рекламным модулем!.
K-Lite Mega Codec Pack 17.8.0 v.17.8.0 Внимание! Скачать обновления
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

 

[Kataomi_3232]

Спасибо за ответы, хотелось бы задать несколько вопросов.
1. Касперский же сам обновляет базы, я должен его заного скачать или как?
2. Торрент я удалил (папку снес из-за детекта касперского) самого приложения уже давным давно нет, стандартное удаление через панель управление не находит программу, ровно как и revo uninstaller.
UPD:
В доте наблюдаю просадки (может из-за эффектов) но ранее фпс стабильно держался в районе 180-220, сейчас бывает и до 70 просаживается, подозрительных процессов в диспетчере не наблюдаю.

Изменено 7 мая пользователем Kataomi_3232

[Sandor]

13 минут назад, Kataomi_3232 сказал:

через панель управление не находит программу

Попробуйте самостоятельно в реестре найти ключи по слову utorrent

Если не получится, сообщите и удалим скриптом его упоминания.

 

14 минут назад, Kataomi_3232 сказал:

Касперский же сам обновляет базы

Базы и модули программы - это разные вещи. Но вы правы, спустя некоторое время и версия программы должна самостоятельно обновиться.

 

15 минут назад, Kataomi_3232 сказал:

может из-за эффектов

По играм - не подскажу. Посоветуйтесь в соседнем разделе.

[Kataomi_3232]

Подскажите как искать эти ключи и открыть реестр.
UPD: 
Нашел в этих 5 папках значение - utorrent и разновидности application. Просто удалить эти папки?

Изменено 7 мая пользователем Kataomi_3232

[Sandor]

Давайте всё же сделаем по-другому.

Скачайте ещё раз FRST64.exe

 

Запустите, в поле Search (Поиск) введите

utorrent

и нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.

 

Отвечу скорее всего завтра. Эти хвосты никак не влияют на работу системы, и тем более на проседание.