Решена Периодически в браузере Microsoft Edge появляется Adblock Plus, который я не устанавливал

Переводчик Google
Статус
В этой теме нельзя размещать новые ответы.
F

FatCatMeow

Новый пользователь
Сообщения
6
Реакции
0
Приветствую всех! Похоже, попался троян, который устанавливает это расширение. Как его можно убрать? Пробовал сбрасывать браузер, удалял папку User Data, на время помогло, потом снова появился. Спасибо!
 
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 TerminateProcessByName('c:\users\336\appdata\roaming\utorrent\pro\node.exe');
 QuarantineFile('C:\Users\336\AppData\Roaming\utorrent\pro\nodeupdate.vbs', '');
 QuarantineFile('c:\users\336\appdata\roaming\utorrent\pro\node.exe', '');
 DeleteFile('c:\users\336\appdata\roaming\utorrent\pro\node.exe', '32');
 DeleteFile('C:\Users\336\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe', '64');
 DeleteFile('C:\Users\336\AppData\Roaming\utorrent\pro\nodeupdate.vbs', '64');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('MicrosoftEdgeUpdateTaskUserS-1-5-21-4086489933-2320909994-1584244744-1001Core{8F64FBE7-687B-49F7-8504-7AD784F40905}');
 DeleteSchedulerTask('MicrosoftEdgeUpdateTaskUserS-1-5-21-4086489933-2320909994-1584244744-1001UA{F3D9ED69-0E17-4719-8B26-17B33265260F}');
 DeleteSchedulerTask('NodeUpdate');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Полученный архив quarantine.7z из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!


Пофиксите в HJT (некоторые строки могут отсутствовать):

Код: 
O4 - HKCU\..\Run: [Microsoft Edge Update] = C:\Users\336\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\MicrosoftEdgeUpdateCore.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: EdgeUpdate - C:\Windows\system32\cmd.exe /c auditpol /set /category:"System" /success:enable && auditpol /set /category:"Detailed Tracking" /subcategory:"Process Creation" /success:enable (sign: 'Microsoft')
O22 - Tasks: MicrosoftEdgeUpdateTaskUserS-1-5-21-4086489933-2320909994-1584244744-1001Core{8F64FBE7-687B-49F7-8504-7AD784F40905} - C:\Users\336\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (file missing)
O22 - Tasks: MicrosoftEdgeUpdateTaskUserS-1-5-21-4086489933-2320909994-1584244744-1001UA{F3D9ED69-0E17-4719-8B26-17B33265260F} - C:\Users\336\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (file missing)
O22 - Tasks: NodeUpdate - C:\Windows\System32\wscript.exe //nologo //B C:\Users\336\AppData\Roaming\utorrent\pro\nodeupdate.vbs (sign: 'Microsoft')
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Вот результаты сканирования Farbar.
 

Вложения

  • Scan.zip
    Scan.zip
    34.1 KB · Просмотры: 4
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2025-02-19 13:58 - 2025-02-19 13:58 - 000000344 _____ C:\Users\336\node.dat
2025-02-19 13:58 - 2025-02-19 13:58 - 000000103 _____ C:\Users\336\e-country.json
2025-02-19 13:58 - 2025-02-19 13:58 - 000000000 ____D C:\Users\336\AppData\Roaming\utorrent
2025-02-09 16:37 - 2025-02-23 11:20 - 000018155 _____ C:\Users\336\ex-list2.json
2025-02-09 16:37 - 2025-02-23 11:19 - 000000383 _____ C:\Users\336\bs-list.json
2025-02-09 16:37 - 2025-02-09 16:37 - 000000167 _____ C:\Users\336\e-user.json
CustomCLSID: HKU\S-1-5-21-4086489933-2320909994-1584244744-1001_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\336\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086489933-2320909994-1584244744-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\336\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4086489933-2320909994-1584244744-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\336\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
HKU\S-1-5-21-4086489933-2320909994-1584244744-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-4086489933-2320909994-1584244744-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4086489933-2320909994-1584244744-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4086489933-2320909994-1584244744-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.


Файл вида Дата_Время.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru ссылку отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.
 
Файл Fixlog прикрепил. Архив залил.
 

Вложения

Сообщите, что с проблемой?
 
Пока что не проявляется. Я тут до начала проверки ещё сканером cure it нашел некий файл Wext.vbs в programdata/Microsoft, после проверки сканер его удалил, пока он не появляется больше, как и фейковое расширение. Буду наблюдать.
 
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу