Вирус в Chrome

[Haseo596]

Появилось неудаляемое расширение в Chrome. Называться оно Google Chrome Update Service. Проверял неоднократно на вирусы такими программами , как Avast, Dr Web CureIt, AdwCleaner, SpyHunt.

Ничего не показывают. Появились в папке Extensions папки с названиями aapocclcgogkmnckokdopfmhonfmgoek, aohghmighlieiainnegkcijnfilokake, apdfllckaahabafndbhieahigkjlhalf, blpcfgokakmgnkcojhhkbfbldkacnbeo, egefklfmaeogcfhelnamdhgknndnpeim, felcaaldnbdncclmgdcncolpebgiejap, ghbmnnjooekpmoecnnnilnnbdlolhkhi, nmmhkkegccagdldgiimedpiccmgmieda, pjkljhegncpnkpknbcohdijeoejaedia, pkedcjkdefgpdelpbcmbmeomcjbeemfm. Пытался их удалить, при запуске они снова вощвращаются. Процессов подозрительных не нашел. При запуске хром( когда папки удалены), в журнале появляется следующее : 

 

[3188:7764:0524/010636.143:WARNING:chrome_content_verifier_delegate.cc(201)] Corruption detected in policy extension pkedcjkdefgpdelpbcmbmeomcjbeemfm installed at: C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm\6618.312.0.2_0

 

 

 

  Provider

      [ Name] Chrome

    - EventID 256

      [ Qualifiers] 32768

      Level 3       Task 1       Keywords 0x80000000000000

 

 

Вот логи: 

CollectionLog-2018.05.24-02.30.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\User\AppData\Roaming\WeatherForecaster\app.py','');
 QuarantineFile('C:\Users\User\AppData\Roaming\WeatherForecaster\ml2.py','');
 DeleteFile('C:\Users\User\AppData\Roaming\WeatherForecaster\ml2.py','64');
 DeleteFile('C:\Users\User\AppData\Roaming\WeatherForecaster\app.py','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\WeatherForecaster2','x64');
 DeleteFile('C:\WINDOWS\system32\Tasks\WeatherForecaster','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Haseo596]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
quarantine.zip

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"
 

ClearLNK-2018.05.24_16.02.08.log

CollectionLog-2018.05.24-16.08.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Haseo596]

...........

farbar.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR Extension: (Google Chrome Update Service) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\egefklfmaeogcfhelnamdhgknndnpeim [2018-05-24] [UpdateUrl: hxxp://adsmeneger.club/update.xml] <==== ATTENTION
Task: {0BC32F60-64EA-43A0-921A-9AC901DC6602} - \WeatherForecaster2 -> No File <==== ATTENTION
Task: {5293B22F-A893-4776-A8BA-6FC71E9379B0} - \WeatherForecaster -> No File <==== ATTENTION
HKU\S-1-5-21-2628072296-2355962095-1236655329-1001\...\StartupApproved\Run: => "WeatherForecaster"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Haseo596]

Посмотрел в Хром, расширение больше не появляется. Что еще нужно сделать?

Также повторил логи: 

Fixlog.txt

CollectionLog-2018.05.24-23.13.zip

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Haseo596]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 24.05.2018 23:34:05
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 5.07is-22.05.2018
___________________________________________________________________________

Windows 10(6.3.17134) (x64) CoreSingleLanguage Версия: 1803 Lang: Russian(0419)
Дата установки ОС: 22.05.2018 20:06:28
Статус лицензии: Windows®, CoreSingleLanguage edition Постоянная активация прошла успешно.
Статус лицензии: Office 16, Office16VisioProR_Grace edition Срок окончания начального льготного периода: 5603 мин.
Статус лицензии: Office 15, OfficeProfessionalR_Grace edition Срок окончания начального льготного периода: 4293 мин.
Статус лицензии: Office 15, OfficeProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 40293 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок окончания начального льготного периода: 40293 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [116.6 Гб] Занято: [85.7 Гб] Свободно: [30.9 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.48.17134.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
---------------------------- [ Antivirus_WMI ] ----------------------------
Avast Antivirus (выключен и обновлен)
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
Avast Antivirus (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Avast Free Antivirus v.18.4.2338
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44358 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.181
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.66.0.3359.181
C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\MicrosoftEdge.exe v.11.0.17134.48
------------------ [ AntivirusFirewallProcessServices ] -------------------
Avast Antivirus (avast! Antivirus) - Служба работает
C:\Program Files\AVAST Software\Avast\AvastSvc.exe v.18.4.3895.0
aswbIDSAgent (aswbIDSAgent) - Служба остановлена
C:\Program Files\AVAST Software\Avast\AvastUI.exe v.18.4.3895.325
C:\ProgramData\Microsoft\Windows Defender\Platform\4.14.17639.18041-0\MsMpEng.exe v.4.14.17639.18041
C:\ProgramData\Microsoft\Windows Defender\Platform\4.14.17639.18041-0\NisSrv.exe v.4.14.17639.18041
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.13.17134.1
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------

[thyrex]

Выполните указанное, и на этом закончим

[Haseo596]

Выполните указанное, и на этом закончим

Благодарю Вас, желаю удачи. До свидания.