Перейти к содержанию
Правила раздела

google chrome устанавливаются "левые" расширения

Takun

Автор Takun,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Takun

Takun 0

Опубликовано
Опубликовано (изменено)

Добрый вечер, после того как на компьютер устанавился спустник mail, амиго и т.д., начались проблемы с google chrome, adblock постоянно сам удаляется, постоянно устанавливаются левые расширения, стартовая страница пытается изменится на mail.ru, пытался очистить с помощью adwcleaner и он нашел около 60 "угроз", почистил и потом перезагрули компьютер.После перезагрузки проблема осталась, подскажите пожалуйста, как действовать дальше.

UPD: Прикрепил последний скан.

AdwCleanerS1.txt

Изменено пользователем Takun
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('HWiNFO32');
 QuarantineFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '');
 QuarantineFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 DeleteFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '32');
 DeleteFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '32');
 DeleteService('HWiNFO32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','EA7DADA85A8375DCB354190DB87D5232SB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
Takun

Takun 0

Опубликовано
  • Автор
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('HWiNFO32');
 QuarantineFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '');
 QuarantineFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\EA7DADA85A8375DCB354190DB87D5232SB" /F', 0, 15000, true);
 DeleteFile('C:\Users\Takun\AppData\Local\Temp\HWiNFO64A.SYS', '32');
 DeleteFile('C:\Users\Takun\AppData\Local\Microsoft\B8BEF427FEEEA588BD76A1AABD0DF42D\7D52328BD091453BCD5738A58AEA7DAD.exe', '32');
 DeleteService('HWiNFO32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','EA7DADA85A8375DCB354190DB87D5232SB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Файл CheckBrowserLnk.log

из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

move.gif

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

Вот лог, проблема пока не решилась, приложение  "admin search" ещё стало появляться с каждым запуском хрома

ClearLNK-24.11.2016_20-10.log

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Takun

Takun 0

Опубликовано
  • Автор
Опубликовано

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

txt не могу прикрепить

лог.rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {f10aab2f-8f1f-4e5c-98d3-4e4ea09871cf} -> No File
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-29]
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-20]
OPR Extension: (YouBoy) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-01]
Task: {C0844AE4-60B6-45B2-81DE-97274CDA1632} - \Microsoft\Windows\AFA7133BD-2BB4-4AB2-BB6E-A402CBE25E8A -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Takun

Takun 0

Опубликовано
  • Автор
Опубликовано (изменено)

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {f10aab2f-8f1f-4e5c-98d3-4e4ea09871cf} -> No File
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihbiedpeaicgipncdnnkikeehnjiddck [2016-10-29]
OPR Extension: (No Name) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-10-20]
OPR Extension: (YouBoy) - C:\Users\Takun\AppData\Roaming\Opera Software\Opera Stable\Extensions\oghkljobbhapacbahlneolfclkniiami [2016-11-01]
Task: {C0844AE4-60B6-45B2-81DE-97274CDA1632} - \Microsoft\Windows\AFA7133BD-2BB4-4AB2-BB6E-A402CBE25E8A -> No File <==== ATTENTION
EmptyTemp:
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

admin search пока не вижу, но открывать меню разработчика до сих пор не могу, что то блочит.

и открываются периодически вкладки с рекламой

Fixlog.txt

Изменено пользователем Takun
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • para87
      [РЕШЕНО] браузер сам пытается перейти на сайт
      От para87
      браузер Google Chrome  не всегда бывает  сам пытается перейти на сайт (byruthub.org   не надо на него переходить)  . Касперский останавливает переход на этот сайт.  
      я скачал   AV block remover (AVbr) v.4 подумал манер  тут safezone.cc запустил пишет скачайте новую версию. Его лог.  Я попробовал переименовал или  в другой место переместить  тоже самое.  Версия вроде новая.
      Malwarebytes обнаружила PUP.Optional.BundleInstaller я не чего с ними не делал лог вот 
       
      CollectionLog-2024.09.26-17.54.zip AV_block_remove_2024.09.26-18.07.log
      Malwarebytes Отчет о проверке 2024-09-26 182543.txt
    • notcrayzi
      Вирус google\chrome\updater.exe
      От notcrayzi
      В последнее время начал замечать,что PC начал тормозить и очень часто начали вылетать синий экран с ошибкой critical process died. Решил через время проверить на вирус с помощью Windows антивируса. Он показывал всё чисто.Но вопрос остался открытым. Решил скачать MalwareBytes. И тут показался этот жук. Он его находит и пытается удалить по пути C:\ProgrameData\Google\Chrome\updater.exe . Помогите,пожалуйста. Готов уже полностью сносить систему

      Dr.Web не помог,так же сказал,что всё чисто
       
    • Waraq3
      Нужна помощь в удалении запуска левого скрипта.
      От Waraq3
      Доброго времени суток! Помогите пожалуйста удалить вот такую заразу. 
      Файлы сканирования farbar прилагаю сразу по примеру из аналогичной темы.
      Спасибо!
      farbar files.rar CollectionLog-2023.10.03-14.57.zip
    • TIMICHI
      Тоже остановлена загрузка при запуске Google Chrome
      От TIMICHI
      Здравствуйте, появилась такая же проблема. Уже удалил 110 вирусов с помощью Malwerbytes. Что ещё можно сделать? Файлы прикрепляю.
      FRST.txt Addition.txt
    • Artemsakh
      остановлена загрузка при запуске Chrome
      От Artemsakh
      Подскажите, что с этим делать с АРМ идут обращения на DNSы api[.}check-data.xyz, касперский естественно ничего не находит 
      собрал логи Farbar Recovery Scan Tool 
       
      А кто имеет доступ к загруженным файлам на форуме?
       
      Сообщение от модератора thyrex Перенесено из этой темы  
×
×
  • Создать...