браузер закрывается сам по себе

[korenis]

Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\nikit\AppData\Roaming\utorrent\UtorrentWeb.exe','');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('C:\Users\nikit\AppData\Roaming\utorrent\UtorrentWeb.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[korenis]

CollectionLog-2025.07.02-13.06.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[korenis]

frst.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-3958405123-2234113126-1255270686-1001\...\Run: [YandexBrowserAutoLaunch_60556CB1E4429952AC4F10CFE507EE21] => "C:\Users\nikit\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-3958405123-2234113126-1255270686-1001\...\MountPoints2: {eac92cfa-4337-11f0-8c00-d843aed8d760} - "E:\setup.exe" 
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\nikit\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\afhgfcipkiehgajacabmbkepngeinaam
C:\Users\nikit\AppData\Local\Google\Chrome\User Data\Default\Extensions\lbnoagiicplmfbboplchmalbddbglegb
C:\Users\nikit\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\aiddjnghmjahgdgncommnehkjcijckgc
S0 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2025-06-23 11:46 - 2025-06-28 16:29 - 000000389 _____ () C:\Users\nikit\setup.dat
CustomCLSID: HKU\S-1-5-21-3958405123-2234113126-1255270686-1001_Classes\CLSID\{23B3E3D8-C162-4A8B-AB0C-0905DCB1DF19}\InprocServer32 -> C:\Users\nikit\AppData\Local\Packages\Microsoft.PowerAutomateDesktop_8wekyb3d8bbwe\TempState\RDP\DVCPlugin\x64\Microsoft.Flow.RPA.Desktop.UIAutomation.RDP.DVC.Plugin.dll => Нет файла
C:\Users\nikit\AppData\Roaming\Microsoft\Windows\Start Menu\Мир Кораблей.lnk
C:\Users\nikit\AppData\Roaming\Microsoft\Windows\Start Menu\Мир Танков.lnk
FirewallRules: [TCP Query User{3D7481A3-3314-4782-AD7E-7C9ABD383C42}C:\users\nikit\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.11-windows-x64\bin\java.exe] => (Allow) C:\users\nikit\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.11-windows-x64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{33C8FE42-B883-4BA1-8CE0-5761CA5B54E7}C:\users\nikit\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.11-windows-x64\bin\java.exe] => (Allow) C:\users\nikit\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.11-windows-x64\bin\java.exe => Нет файла
FirewallRules: [{95A0BC9F-EF41-4C9C-91DE-90D149FCD976}] => (Allow) D:\Steam\Steam.exe => Нет файла
FirewallRules: [{E9C9D571-5ED9-4533-BB7F-F7C37BC4171B}] => (Allow) D:\Steam\Steam.exe => Нет файла
FirewallRules: [{D7AEACAC-5592-46F7-B1CD-F53233D2F33F}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{83AB4853-D554-4F7F-934F-5CB2927B24FD}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{4EDC38C3-98D8-45A0-8F1F-7B4DFDEEF4C7}] => (Allow) D:\Steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{1ABF97A9-8E5E-4A94-994E-B47A11FF8893}] => (Allow) D:\Steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{E1A5B24D-C11B-4015-8762-CF79FF5ECC3C}] => (Allow) D:\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Нет файла
FirewallRules: [{ACDA74BA-8443-4663-84B3-2D3EAA609070}] => (Allow) D:\Steam\steamapps\common\Poppy Playtime\PlaytimeLauncher\PlaytimeLauncher.exe => Нет файла
FirewallRules: [TCP Query User{EEF1A41A-BC4E-4E19-9514-4BF0F3857804}E:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) E:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [UDP Query User{51CBAF35-CADE-4D4B-A688-8FDCB4FEF880}E:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) E:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла
FirewallRules: [TCP Query User{18CED822-3A25-458E-9156-D3B5F913988F}C:\users\nikit\downloads\elden_ring-3001325.exe] => (Allow) C:\users\nikit\downloads\elden_ring-3001325.exe => Нет файла
FirewallRules: [UDP Query User{41BDB8DF-CB22-4771-8F09-7938335D37FA}C:\users\nikit\downloads\elden_ring-3001325.exe] => (Allow) C:\users\nikit\downloads\elden_ring-3001325.exe => Нет файла
FirewallRules: [{1BAC7857-4467-4CB5-B645-94EEB619516C}] => (Allow) E:\SteamLibrary\steamapps\common\wallpaper_engine\bin\ui32.exe => Нет файла
FirewallRules: [{F42B21ED-7AE8-4465-8206-87FD50AAB41C}] => (Allow) E:\SteamLibrary\steamapps\common\wallpaper_engine\bin\ui32.exe => Нет файла
FirewallRules: [TCP Query User{B956A068-453C-4094-BDB2-FE8AAD4F1635}E:\baldurs.gate.3.gog.rip-insaneramzes\baldurs gate 3\bin\bg3.exe] => (Allow) E:\baldurs.gate.3.gog.rip-insaneramzes\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [UDP Query User{DCCEBAA6-18CB-43C0-B1C3-DB79A264E696}E:\baldurs.gate.3.gog.rip-insaneramzes\baldurs gate 3\bin\bg3.exe] => (Allow) E:\baldurs.gate.3.gog.rip-insaneramzes\baldurs gate 3\bin\bg3.exe => Нет файла
FirewallRules: [TCP Query User{EF9B77D1-9D96-488E-8ED4-BCD98E7E5371}D:\voiceai\mmvcserversio\mmvcserversio.exe] => (Allow) D:\voiceai\mmvcserversio\mmvcserversio.exe => Нет файла
FirewallRules: [UDP Query User{0880EDAE-C126-424B-A58B-5D83DEF379CE}D:\voiceai\mmvcserversio\mmvcserversio.exe] => (Allow) D:\voiceai\mmvcserversio\mmvcserversio.exe => Нет файла
FirewallRules: [{20256AEC-4374-414F-BA36-36E9E73C9B87}] => (Allow) D:\Games\steamapps\common\American Truck Simulator\bin\win_x64\amtrucks.exe => Нет файла
FirewallRules: [{19F3BDBB-666C-473B-BEB2-65A1B11E19A2}] => (Allow) D:\Games\steamapps\common\American Truck Simulator\bin\win_x64\amtrucks.exe => Нет файла
FirewallRules: [{1958440D-BCCC-4E84-A1BB-3742152365EE}] => (Allow) D:\Games\steamapps\common\Serious Sam Revolution\Bin\SeriousSam.exe => Нет файла
FirewallRules: [{9F14A3DF-336B-48AE-8A8B-1C5A4CB74B97}] => (Allow) D:\Games\steamapps\common\Serious Sam Revolution\Bin\SeriousSam.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

[korenis]

Fixlog.txt

[thyrex]

Проблема решена?

[korenis]

Да, спасибо большое!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[korenis]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Microsoft 365 - en-us v.16.0.18827.20150 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft 365 - ru-ru v.16.0.18827.20150 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Среда выполнения Microsoft Edge WebView2 Runtime v.137.0.3296.83 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.095.0518.0002 Внимание! Скачать обновления
WinRAR 7.01 (64-bit) v.7.01.0 Внимание! Скачать обновления
WinRAR x64 v.1.0 Внимание! Скачать обновления
Discord v.1.0.9179 Внимание! Скачать обновления
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.25.4.4.576 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.137.0.7151.122 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.137.0.3296.83 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.