Не удаляется вирус в Edge

[Стас001]

Здравствуйте, около недели назад (ноутбук на виндоуз 10 с синхронизируемыми браузерами Edge и Google) стал замечать, что в Гугл стали появляться окошки с предложением подключиться к некоему прокси серверу, поэтому решил проверить систему антивирусами - malwarebytes ничего не нашел, а KVRT нашел папки и рекламные программы (в реестре и программных файлах google, а потом и в edge? в т.ч. c Proxy), созданные под неизвестной учетной записью. После безуспешных попыток удалить папки при помощи KVRT (находит, лечит с перезагрузкой, но они не удаляются), переустановил виндоуз 10 несколько раз (со смартфона отключил синхронизацию, очистил все облачные диски и все что можно), но (вероятно) после входа в учетную запись майкрософт и Edge папки extensions с неудаляемыми расширениями в Edge появляются снова. У меня вопросы: 1) могу, конечно, снова переустановить виндоуз и не входить в учетную запись майкрософт и в edge, но не уверен, что где-то в системе не остались артефакты вируса (хотя переустанавливал с глубокой чисткой всех разделов диска HDD - он у меня один) и не получу ли я проблему позже с гуглом или другим браузером. 2) может быть, есть способы почистить систему, в т.ч. реестр или планировщик заданий и как-то избавиться о вируса?

CollectionLog-2025.11.15-12.28.zip

[Sandor]

Здравствуйте!

 

После переустановки системы вредоносные программы не выживают, разве что вы запустите некий левый активатор или установите какой-нибудь "репак".

 

Сделайте ещё раз следующее:

- отключите синхронизацию

- выйдите из аккаунта Edge

- просканируйте антивирусом с удалением найденного (попутно удалите подозрительные расширения браузера)

- войдите в аккаунт и включите синхронизацию.

 

Такую процедуру следует провести на всех устройствах, с которых вы входите в аккаунт Edge.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Стас001]

2 часа назад, Sandor сказал:

Здравствуйте!

 

После переустановки системы вредоносные программы не выживают, разве что вы запустите некий левый активатор или установите какой-нибудь "репак".

 

Сделайте ещё раз следующее:

- отключите синхронизацию

- выйдите из аккаунта Edge

- просканируйте антивирусом с удалением найденного (попутно удалите подозрительные расширения браузера)

- войдите в аккаунт и включите синхронизацию.

 

Такую процедуру следует провести на всех устройствах, с которых вы входите в аккаунт Edge.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Спасибо, все сделал, отчеты прикладываю. 

Addition.txt FRST.txt

[Sandor]

Судя по логам, повреждён файл настроек Edge.

Попробуйте сделать сброс по этой инструкции.

 

После чего удалите старые и соберите новые логи FRST.txt и Addition.txt

[Стас001]

Сделал жесткий сброс настроек Edge, логи прикрепляю. 

FRST.txt Addition.txt

[Sandor]

При активном окне браузера Edge нажмите комбинацию Alt+F

Выберите "Справка и отзывы" - "О программе Microsoft Edge"

Если есть обновление, обновите.

[Стас001]

Проверил, Edge обновлен, папка с рекламными расширениями на месте, удалить их не получается - отказ в доступе. 

[Sandor]

Отключите до перезагрузки антивирус, но сеть не отключайте. Закройте по максимуму все запущенные программы.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1130453066-4231785877-548654832-1001\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKU\S-1-5-21-1130453066-4231785877-548654832-1001\...\MountPoints2: {ad5a0804-bd7f-11f0-b291-d0c6377ea8f5} - "D:\SETUP.EXE" 
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  C:\Users\СТАС\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb
  C:\Users\СТАС\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\deopfbighgnpgfmhjeccdifdmhcjckoe
  C:\Users\СТАС\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gbiekjoijknlhijdjbaadobpkdhmoebb
  C:\Users\СТАС\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jmjflgjpcpepeafmmgdpfkogkghcpiha
  C:\Users\СТАС\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\nkapkmklnmidbbgjaipbgpcnbomnaakc
  C:\Users\СТАС\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\pbefkdcndngodfeigfdgiodgnmbgcfha
  Edge HKLM-x32\...\Edge\Extension: [nkapkmklnmidbbgjaipbgpcnbomnaakc]
  cmd: ECHO Y|CHKDSK C: /F
  cmd: pushd c:\windows\system32
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Выполнение скрипта может занять длительное время, дождитесь окончания.

Во время перезагрузки будет запущена проверка/исправление ошибок диска, не прерывайте её.

[Стас001]

Огромное спасибо, все удалилось за исключением jmjflgjpcpepeafmmgdpfkogkghcpiha, но это видимо, не вирус? https://techcommunity.microsoft.com/discussions/edgeinsiderdiscussions/new-extensions-that-come-with-the-canary-version-/3711116

[Sandor]

3 часа назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Это забыли.

 

А также для верности удалите старые и соберите новые логи FRST.txt и Addition.txt

[Стас001]

Да, простите, забыл, прикрепляю. 

Fixlog.txt FRST.txt Addition.txt

[Sandor]

По-прежнему повреждён файл Secure Preferences. Сейчас уже не только браузера Edge, но и браузера Chrome.

 

Создайте параллельно тему в разделе компьютерной помощи. Ссылку на эту тему там укажите.

[Стас001]

Создал, можно это как-то исправить?

Я вчера установил браузер Chrome. 

[Sandor]

20 минут назад, Стас001 сказал:

можно это как-то исправить?

Надеюсь, специалисты в том разделе подскажут.

[andrew75]

В Secure Preferences содержится в частности код для проверки целостности расширений.
Расширения вы удалили скриптом, но в этом файле информация о них осталась. Отсюда скорее всего и проблемы.

Насколько я знаю, редактировать этот файл нельзя.

 

51 минуту назад, Стас001 сказал:

Я вчера установил браузер Chrome. 

зависит от того, как именно вы его установили. Судя по тому, что Farbar ругается на Secure Preferencies, профиль вы не удалили.

 

Думаю правильнее всего сбросить настройки браузера: chrome://settings/reset

Или удалить хром с удалением данных и потом проверить что профиль удалился.

 

 

Изменено 17 ноября пользователем andrew75