Перейти к содержанию

google chrome устанавливаются "левые" расширения


Рекомендуемые сообщения

Добрый вечер, после того как на компьютер устанавился спустник mail, амиго и т.д., начались проблемы с google chrome, adblock постоянно сам удаляется, постоянно устанавливаются левые расширения, стартовая страница пытается изменится на mail.ru, пытался очистить с помощью adwcleaner и он нашел около 60 "угроз", почистил и потом перезагрули компьютер.После перезагрузки проблема осталась, подскажите пожалуйста, как действовать дальше.

UPD: Прикрепил последний скан.

AdwCleanerS1.txt

Изменено пользователем Takun
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('HWiNFO32');
 QuarantineFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '');
 QuarantineFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 DeleteFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '32');
 DeleteFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '32');
 DeleteService('HWiNFO32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','EA7DADA85A8375DCB354190DB87D5232SB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 weeks later...

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('HWiNFO32');
 QuarantineFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '');
 QuarantineFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 DeleteFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '32');
 DeleteFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '32');
 DeleteService('HWiNFO32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','EA7DADA85A8375DCB354190DB87D5232SB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Вот лог, проблема пока не решилась, приложение  "admin search" ещё стало появляться с каждым запуском хрома

ClearLNK-24.11.2016_20-10.log

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

txt не могу прикрепить

лог.rar

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {f10aab2f-8f1f-4e5c-98d3-4e4ea09871cf} -> No File
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-29]
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-20]
OPR Extension: (YouBoy) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-01]
Task: {C0844AE4-60B6-45B2-81DE-97274CDA1632} - \Microsoft\Windows\AFA7133BD-2BB4-4AB2-BB6E-A402CBE25E8A -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {f10aab2f-8f1f-4e5c-98d3-4e4ea09871cf} -> No File
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-29]
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-20]
OPR Extension: (YouBoy) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-01]
Task: {C0844AE4-60B6-45B2-81DE-97274CDA1632} - \Microsoft\Windows\AFA7133BD-2BB4-4AB2-BB6E-A402CBE25E8A -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

admin search пока не вижу, но открывать меню разработчика до сих пор не могу, что то блочит.

и открываются периодически вкладки с рекламой

Fixlog.txt

Изменено пользователем Takun
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Краб
      От Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • Neovolt
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
    • Vadim Nube
      От Vadim Nube
      Здравствуйте! Помогите пожалуйста. Adwcleaner - не помогает в решении проблемы.
      В браузер Yandex автоматически устанавливается расширение "Adblock Plus" - который не является оригинальным расширением. Данное расширение маскируется под него.
      Скачал программу FRST64, отчеты приложил.
      К слову я слабый пользователь ПК.
      Shortcut.txt Addition.txt FRST.txt
    • Сергей64
      От Сергей64
      Здравствуйте!
      Проблема: В спокойном состоянии нагрузка на ЦП держится примерно на уровне 40 процентов. Проблема появилась после активации винды KMS

      При открытии диспетчера задач нагрузка приходит в норму 

      На данный момент Dr.Web не видит угроз, хотя ранее находил угрозу NET:MALWARE.URL (но не смог ее вылечить)

       
      SpyHunter нашел следующие угрозы(при попытке удаления файлов/записей в реестре они сразу же восстанавливаются)
       

       
      CollectionLog-2024.09.15-18.25.zip
    • notcrayzi
      От notcrayzi
      В последнее время начал замечать,что PC начал тормозить и очень часто начали вылетать синий экран с ошибкой critical process died. Решил через время проверить на вирус с помощью Windows антивируса. Он показывал всё чисто.Но вопрос остался открытым. Решил скачать MalwareBytes. И тут показался этот жук. Он его находит и пытается удалить по пути C:\ProgrameData\Google\Chrome\updater.exe . Помогите,пожалуйста. Готов уже полностью сносить систему

      Dr.Web не помог,так же сказал,что всё чисто
       
×
×
  • Создать...