Решена Самопроизвольно запускается Хром с рекламой

Статус
В этой теме нельзя размещать новые ответы.

Дмитрий Кошелев

Новый пользователь
Сообщения
9
Реакции
1
Здравствуйте, добрые люди! Успехов вам в вашем деле!!!
Пожалуйста, помогите проверить компьютер на угрозы. Суть проблем изложена в заголовке моего обращения.
Буду признателен также за рекомендации по удалению ненужных программ, бесполезно занимающих место на дисках моего компьютера. Всё чаще приходится освобождать его. Пользуюсь для этого CCleanerом. Но подозреваю, что помимо временных файлов на дисках имеется ПО установленное "до кучи" с другими приложениями и не используемое мной.
 

Вложения

  • CollectionLog-2018.05.07-23.37.zip
    89.5 KB · Просмотры: 6
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\microsoft\macromed\flash player\9351fb06-7bac-44b0-8536-b458559e26e4', '*', true, '', 0 ,0);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\admin\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\9351FB06-7BAC-44B0-8536-B458559E26E4\C033F8F6-5C83-4E9F-B9A4-8756CAD564E4.exe', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetupSB" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A9351FB06-7BAC-44B0-8536-B458559E26E4" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetupSB" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\9351FB06-7BAC-44B0-8536-B458559E26E4\C033F8F6-5C83-4E9F-B9A4-8756CAD564E4.exe', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\users\admin\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9351FB06-7BAC-44B0-8536-B458559E26E4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9351FB06-7BAC-44B0-8536-B458559E26E4');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики скачайте свежий AutoLogger и запустите его снова. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.
 
  • Like
Реакции: akok
AdwCleaner сначала запустил не от имени администратора. Отчет приложен по второму запуску "от имени администратора".
 

Вложения

  • AdwCleaner[S01].txt
    19.2 KB · Просмотры: 2
  • CollectionLog-2018.05.08-23.13.zip
    82 KB · Просмотры: 2
  • ClearLNK-2018.05.08_23.16.59.log
    14.7 KB · Просмотры: 2
  • Check_Browsers_LNK.log
    208.9 KB · Просмотры: 3
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
И да, активируйте следующие пункты в настройках ADW
  • Сброс политик IE
  • Сброс политик Chrome

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
С праздником Великой Победы!
Война пусть будет только с вирусами!
Здоровья и удовлетворенности всем, что происходит в Вашей жизни!
 

Вложения

  • Addition.txt
    53.3 KB · Просмотры: 6
  • FRST.txt
    123.8 KB · Просмотры: 3
  • Shortcut.txt
    171.1 KB · Просмотры: 0
  • AdwCleaner[S02].txt
    19.2 KB · Просмотры: 2
  • AdwCleaner[C02].txt
    15.8 KB · Просмотры: 5
  • Like
Реакции: akok
Политики сами настраивали?
HKU\S-1-5-21-2399178835-2304580121-637607134-1001\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-2399178835-2304580121-637607134-1001\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
CreateRestorePoint:
VirusTotal: C:\Users\admin\AppData\Local\Schedule\Schedule.exe
() C:\Users\admin\AppData\Local\Schedule\Schedule.exe
C:\Users\admin\AppData\Local\Schedule\Schedule.exe
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Schedule.lnk [2018-05-09]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2399178835-2304580121-637607134-1001 -> {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL =
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2399178835-2304580121-637607134-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:8C35AEA7 [111]
AlternateDataStreams: C:\ProgramData\TEMP:8CE646EE [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8C35AEA7 [111]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8CE646EE [138]
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
Настраивал ли политики не помню.
Для сведения, на всякий случай: при запуске компьютера до исполнения ваших указаний Хром запустился сам, с рекламой.
 

Вложения

  • Fixlog.txt
    7.7 KB · Просмотры: 2
Настраивал ли политики не помню.
Комп домашний? Если домашний, тогда
Выполните скрипт в Farbar Recovery Scan Tool. Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2399178835-2304580121-637607134-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2399178835-2304580121-637607134-1002\User: Restriction <==== ATTENTION
EmptyTemp:
Reboot:
end
+
Почистите браузеры с помощью AVZ:
Меню файл - мастер поиска и устранения проблем - категория - чистка системы, степень опасности - все проблемы. отметьте:
очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
+
Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.
 
  • Like
Реакции: akok
Всё сделал.
У многих расширений Хрома имеются комментарии "Расширение возможно повреждено..." В таком состоянии оно не активно? Или исподтишка может работать?
Может лучше "восстановить стандартные настройки" и воспользоваться стандартным средством борьбы с вредоносным ПО?
 

Вложения

  • Fixlog.txt
    1.9 KB · Просмотры: 2
  • Снимок экрана.jpg
    Снимок экрана.jpg
    24.8 KB · Просмотры: 59
У многих расширений Хрома имеются комментарии "Расширение возможно повреждено..." В таком состоянии оно не активно?
Это означает, что хром не нашел ожидаемого содержимого, жмите восстановить. Кстати, что с проблемами сейчас?
 
Проблемы за 6 часов работы компьютера не появлялись. По впечатлению компьютер стал работать резвее. Хотя Хром "запускается" секунд 5-7. Это нормально?
На нажатие "восстановить" откликнулись только два расширения (в приложении). Но в окошках с подробными описаниями этих расширений, на мой непрофессиональный взгляд, названия этих расширений отличаются от названий в "Снимок экрана.jpg", а их "полномочия" настораживают. Стоит ли их вообще восстанавливать? Если удалю их совсем, это может привести к нестабильности работы Хрома?

Хром "запускается" секунд 5-7 - так и раньше было.
 

Вложения

  • Снимок экрана 2.jpg
    Снимок экрана 2.jpg
    28.6 KB · Просмотры: 59
  • Снимок экрана 3.jpg
    Снимок экрана 3.jpg
    30.3 KB · Просмотры: 60
Последнее редактирование модератором:
Раз проблем нет, тогда финальные рекомендации
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Раз проблем нет, тогда финальные рекомендации
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Здравствуйте!
В AVZ пункт "Обновление баз" не "работает". Шлю лог SC.
 

Вложения

  • log SecurityCheck.txt
    5.6 KB · Просмотры: 1
В AVZ пункт "Обновление баз" не "работает". Шлю лог SC.
Сейчас в автологере полиморфная версия AVZ работает. Такая проблема имеет место.

Деинсталируйте

По возможности исправьте
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.3f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update for Html5 geolocation provider v.3.6.2.901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 
Сейчас в автологере полиморфная версия AVZ работает. Такая проблема имеет место.

Деинсталируйте

По возможности исправьте
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.3f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update for Html5 geolocation provider v.3.6.2.901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Не смог найти как деинсталлировать AVZ, а также вообще не нашёл Update for Html5 geolocation provider v.3.6.2.901.
все остальные Ваши рекомендации выполнил.

Кстати Schedule consumer dialogue регулярно удаляю, поскольку нет сведений об издателе. Но он упрямо появляется в списке приложений.
 
Не смог найти как деинсталлировать AVZ
Просто удалите папку с автологером.

также вообще не нашёл Update for Html5 geolocation provider v.3.6.2.901.
Судя по логам должен быть в меню "Приложения и возможности"
Update for Html5 geolocation provider (HKLM-x32\...\{BFE6D377-F558-4E95-A062-673941B9BA5A}) (Version: 3.6.2.901 - AlterGeo)
 
Просто удалите папку с автологером.


Судя по логам должен быть в меню "Приложения и возможности"
Update for Html5 geolocation provider (HKLM-x32\...\{BFE6D377-F558-4E95-A062-673941B9BA5A}) (Version: 3.6.2.901 - AlterGeo)

Да. Но его там нет - шлю перечень программ, отображаемых в меню "Приложения и возможности".
Скажите, пожалуйста, могу ли в дальнейшем самостоятельно пользоваться программами adwcleaner и FRST64?
 

Вложения

  • Снимок экрана 4.jpg
    Снимок экрана 4.jpg
    29.9 KB · Просмотры: 56
Скажите, пожалуйста, могу ли в дальнейшем самостоятельно пользоваться программами adwcleaner и FRST64?
FRST64 - нет, утилита требует специфичных знаний.
adwcleaner - можете пользоваться, это утилита для удаления нежелательного ПО adware, не требует особых знаний системы.

Да. Но его там нет - шлю перечень программ, отображаемых в меню "Приложения и возможности".
Тогда сделайте свежий лог adwcleaner, перепроверим.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу