google chrome устанавливаются "левые" расширения

[Takun]

Добрый вечер, после того как на компьютер устанавился спустник mail, амиго и т.д., начались проблемы с google chrome, adblock постоянно сам удаляется, постоянно устанавливаются левые расширения, стартовая страница пытается изменится на mail.ru, пытался очистить с помощью adwcleaner и он нашел около 60 "угроз", почистил и потом перезагрули компьютер.После перезагрузки проблема осталась, подскажите пожалуйста, как действовать дальше.

UPD: Прикрепил последний скан.

AdwCleanerS1.txt

Изменено 2 ноября, 2016 пользователем Takun

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Takun]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Сделал полную проверку, вот результат.

[Sandor]

Нужен CollectionLog, собранный с помощью Autologger.

[Takun]

Нужен CollectionLog, собранный с помощью Autologger.

CollectionLog-2016.11.02-19.05.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('HWiNFO32');
 QuarantineFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '');
 QuarantineFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 DeleteFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '32');
 DeleteFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '32');
 DeleteService('HWiNFO32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','EA7DADA85A8375DCB354190DB87D5232SB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Takun]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('HWiNFO32');
 QuarantineFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '');
 QuarantineFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 DeleteFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '32');
 DeleteFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '32');
 DeleteService('HWiNFO32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','EA7DADA85A8375DCB354190DB87D5232SB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Вот лог, проблема пока не решилась, приложение  "admin search" ещё стало появляться с каждым запуском хрома

ClearLNK-24.11.2016_20-10.log

[Sandor]

Постарайтесь так долго не затягивать с ответом. Жду повторный CollectionLog

[Takun]

Постарайтесь так долго не затягивать с ответом. Жду повторный CollectionLog

CollectionLog-2016.11.24-21.45.zip

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Takun]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

txt не могу прикрепить

лог.rar

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {f10aab2f-8f1f-4e5c-98d3-4e4ea09871cf} -> No File
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-29]
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-20]
OPR Extension: (YouBoy) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-01]
Task: {C0844AE4-60B6-45B2-81DE-97274CDA1632} - \Microsoft\Windows\AFA7133BD-2BB4-4AB2-BB6E-A402CBE25E8A -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Takun]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {f10aab2f-8f1f-4e5c-98d3-4e4ea09871cf} -> No File
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-29]
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-20]
OPR Extension: (YouBoy) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-01]
Task: {C0844AE4-60B6-45B2-81DE-97274CDA1632} - \Microsoft\Windows\AFA7133BD-2BB4-4AB2-BB6E-A402CBE25E8A -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

admin search пока не вижу, но открывать меню разработчика до сих пор не могу, что то блочит.

и открываются периодически вкладки с рекламой

Fixlog.txt

Изменено 25 ноября, 2016 пользователем Takun

[Roman_Five]

повторите новые стандартные логи автологгера, FRST и AdwCleaner'a

[Takun]

повторите новые стандартные логи автологгера, FRST и AdwCleaner'a

отчеты.rar

Изменено 27 ноября, 2016 пользователем Takun