Полный набор от мейла и не только

@Tlenix · Регистрация: 29.05.2015

Author24 — интернет-сервис помощи студентам

Дураком был - дураком и остался. Запустил экзешник, словил полный пакет с мейлом, амиго и более 20+ других программ.
более того, в браузере (хром) добавило расширение, которое принудительно открывает различные сайты (расширение удалить нельзя, т.к. заблочено корпоративной политикой - принудительно создается новый пользователь в хроме. Часть программ удалил с помощью CCleanera - подвезло ворох новых.

@severnyj · 17.08.2016, 10:14

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
Tcpip\..\Interfaces\{C336CD3B-9D89-4081-B9D6-F09F181972D4}: [DhcpNameServer] 172.16.0.200 172.16.0.253
Tcpip\..\Interfaces\{ECBCA51D-09C8-4C0D-A95C-9418DD770B8F}: [DhcpNameServer] 7.254.254.254
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
NETSVCx32: HpSvc -> no filepath.
2016-08-15 11:03 - 2016-08-15 16:04 - 00000000 ____D C:\Program Files\їмС№
2016-08-14 20:02 - 2016-08-15 15:47 - 00000258 __RSH C:\Users\Алексей\ntuser.pol
2016-08-14 18:54 - 2009-07-14 07:20 - 00000000 ___HD C:\Windows\system32\GroupPolicy
2016-08-14 18:54 - 2009-07-14 07:20 - 00000000 ____D C:\Windows\SysWOW64\GroupPolicy
 
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@Tlenix · 17.08.2016, 11:49 **[ТС]**

сделано

@severnyj · 17.08.2016, 11:58

Отключите синхронизацию расширений, воспользуйтесь утилитой очистки Chrome со сбросом настроек браузера: https://www.google.ru/chrome/cleanup-tool/

@Tlenix · 17.08.2016, 13:23 **[ТС]**

помогло только частично. Прилагаю скрин - "до" было два вирусных пользователя - "пользователь 1" и "пользователь 2", стартовая страница изменена, навязывались приложения меил и скайп. После отключения синхронизации и запуска программы очистки гугл остался один этот пользователь (не удаляется) и это расширение wize search (не удаляется). стартовая чистая, навязывается только расширение "скайп"

@severnyj · 17.08.2016, 13:26

Удалите старые и соберите новые логи FRST

@Tlenix · 17.08.2016, 13:32 **[ТС]**

сделано. стартовая страница опять какая-то "левая"

@severnyj · 17.08.2016, 13:42

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
CHR DefaultSearchURL: Profile 14 -> hxxp://feed.wizesearch.com/?fext=true&publisherid=51554&publisher=defaultwize&st=ed&q={searchTerms}
CHR DefaultSearchKeyword: Profile 14 -> Wize
CHR Profile: C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 13
CHR Extension: (Wize) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 14\Extensions\feeilhmlfcpfchpbgoknoeefdkbgionj [2016-08-17]
CHR Profile: C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 4
CHR Extension: (Docs) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aohghmighlieiainnegkcijnfilokake [2016-08-16]
CHR Extension: (Диск Google) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-08-16]
CHR Extension: (YouTube) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-08-16]
CHR Extension: (Gmail) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-08-16]
CHR Profile: C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 5
CHR Extension: (Gmail) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-08-17]
CHR Extension: (Chrome Media Router) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 5\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-17]
CHR Profile: C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 6
CHR Extension: (Docs) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\aohghmighlieiainnegkcijnfilokake [2016-08-16]
CHR Extension: (Диск Google) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-08-16]
CHR Extension: (YouTube) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-08-16]
CHR Extension: (Gmail) - C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 6\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-08-16]
CHR Profile: C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Profile 7
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-05-25]
2016-08-14 20:44 - 2016-08-15 09:53 - 00001561 _____ C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-08-14 20:44 - 2016-08-15 09:43 - 00000000 ____D C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-08-14 20:39 - 2016-08-14 20:39 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
2016-08-14 19:58 - 2016-08-14 19:58 - 07118336 _____ C:\Users\Алексей\AppData\Roaming\agent.dat
2016-08-14 19:58 - 2016-08-14 19:58 - 00138240 _____ C:\Users\Алексей\AppData\Roaming\Installer.dat
2016-08-14 19:58 - 2016-08-14 19:58 - 00136861 _____ () C:\Users\Алексей\AppData\Roaming\Holdcore.bin
2016-08-14 19:58 - 2016-08-14 19:58 - 00018432 _____ C:\Users\Алексей\AppData\Roaming\Main.dat
2016-08-14 19:56 - 2016-08-14 19:57 - 00000000 ____D C:\Users\￀￫￥￪￱￥￩\AppData\Local\Tholydolepy
2016-08-14 19:56 - 2016-08-14 19:56 - 00000000 ____D C:\Users\￀￫￥￪￱￥￩
2016-08-14 19:55 - 2016-08-14 19:55 - 00000000 ____D C:\Users\Алексей\AppData\Local\MailruSetup
2016-08-14 19:24 - 2016-08-14 19:24 - 00000000 ____D C:\Users\Алексей\AppData\Local\Deployment
2016-08-14 19:24 - 2016-08-14 19:24 - 00000000 ____D C:\Users\Алексей\AppData\Local\Apps\2.0
2016-08-14 18:55 - 2016-08-14 18:55 - 00000000 ____D C:\Program Files (x86)\IObit
 
 
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@Tlenix · 17.08.2016, 13:54 **[ТС]**

сделано. при запуске браузера те же проблемы, + когда попытался в очередной раз в настройках удалить пользователя - их стало два. Но есть одно отличае - теперь,когда удалял пользователя, появилась ошибка об отсутствии расширения по указанному адресу.

@severnyj · 17.08.2016, 13:58

Гм. Попробуйте деинсталлировать хром, вручную удалить папку:

%LOCALAPPDATA%\Google\Chrome\

Скачать и заново установить

@Tlenix · 17.08.2016, 14:12 **[ТС]**

Сделал. Смог удалить пользователя (создал пользователя "Алексей", и смогу удалить "пользователя 1", расширения никакие не навязываются, поисковая система теперь родная, гугловская. но- стартовая страница по-прежнему левая, и не изменяется в настроках (в настройках вообще указана "панель быстрого доступа", но по-факту это не так). При запуске браузера по-прежнему вылетает ошибка об отсутствии нечитаемого расширения по определенному адресу на компе.

@severnyj · 17.08.2016, 14:13

Сообщение от Tlenix

по определенному адресу на компе.

По какому адресу?

@Tlenix · 17.08.2016, 14:18 **[ТС]**

вот

@severnyj · 17.08.2016, 14:21

Сделайте новые логи Автологгером, как в самом первом сообщении

@Tlenix · 17.08.2016, 14:21 **[ТС]**

собственно по этому адресу вообще какая-то левая папка (учитывая название пути - это же не папка гугл-хрома?)

@severnyj · 17.08.2016, 14:23

Давайте сначала логи, главное разобраться, что заставляет хром грузить расширение из этой папки

@Tlenix · 17.08.2016, 14:27 **[ТС]**

сделано

@severnyj · 17.08.2016, 16:35

- Перетащите лог Check_Browsers_LNK.log из папки с распакованным Автологгером на утилиту ClearLNK. Отчёт о работе прикрепите.

Удалите текущий Автологгер, удалите папки созданные им, скачайте новый и сделайте новые логи.

@Tlenix · 17.08.2016, 17:47 **[ТС]**

сделано. сейчас, кстати, ошибка при запуске браузера уже не выскакивает

@severnyj · 17.08.2016, 20:27

Ок, тут пока чисто, расширение загружалось через зараженный ярлык.
Давайте еще раз посмотрим новые логи FRST, чтобы удалить все подозрительные папки

@Tlenix · 17.08.2016, 21:44 **[ТС]**

сделано

@Tlenix 0 / 0 / 0 Регистрация: 29.05.2015 Сообщений: 70
	17.08.2016, 14:12 [ТС]	30
	Сделал. Смог удалить пользователя (создал пользователя "Алексей", и смогу удалить "пользователя 1", расширения никакие не навязываются, поисковая система теперь родная, гугловская. но- стартовая страница по-прежнему левая, и не изменяется в настроках (в настройках вообще указана "панель быстрого доступа", но по-факту это не так). При запуске браузера по-прежнему вылетает ошибка об отсутствии нечитаемого расширения по определенному адресу на компе. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 14:13	31
	Сообщение от Tlenix по определенному адресу на компе. По какому адресу? 1

@Tlenix 0 / 0 / 0 Регистрация: 29.05.2015 Сообщений: 70
	17.08.2016, 14:21 [ТС]	34
	собственно по этому адресу вообще какая-то левая папка (учитывая название пути - это же не папка гугл-хрома?) Миниатюры 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 16:35	37
	- Перетащите лог Check_Browsers_LNK.log из папки с распакованным Автологгером на утилиту ClearLNK. Отчёт о работе прикрепите. Удалите текущий Автологгер, удалите папки созданные им, скачайте новый и сделайте новые логи. 1

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 11:58	23
	Отключите синхронизацию расширений, воспользуйтесь утилитой очистки Chrome со сбросом настроек браузера: https://www.google.ru/chrome/cleanup-tool/ 1

@Tlenix 0 / 0 / 0 Регистрация: 29.05.2015 Сообщений: 70
	17.08.2016, 13:23 [ТС]	24
	помогло только частично. Прилагаю скрин - "до" было два вирусных пользователя - "пользователь 1" и "пользователь 2", стартовая страница изменена, навязывались приложения меил и скайп. После отключения синхронизации и запуска программы очистки гугл остался один этот пользователь (не удаляется) и это расширение wize search (не удаляется). стартовая чистая, навязывается только расширение "скайп" Миниатюры 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 13:26	25
	Удалите старые и соберите новые логи FRST 1

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 13:58	29
	Гм. Попробуйте деинсталлировать хром, вручную удалить папку: %LOCALAPPDATA%\Google\Chrome\ Скачать и заново установить 1

@Tlenix 0 / 0 / 0 Регистрация: 29.05.2015 Сообщений: 70
	17.08.2016, 14:18 [ТС]	32
	вот Миниатюры 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 14:21	33
	Сделайте новые логи Автологгером, как в самом первом сообщении 1

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 14:23	35
	Давайте сначала логи, главное разобраться, что заставляет хром грузить расширение из этой папки 1

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	17.08.2016, 20:27	39
	Ок, тут пока чисто, расширение загружалось через зараженный ярлык. Давайте еще раз посмотрим новые логи FRST, чтобы удалить все подозрительные папки 1