Вирус засел

[SanBonsain]

Вирус засел

После установки Word 2007 с левого сайта (одним гуманитарием, чтоб ему девки только страшные давали) появилась реклама в браузере и на рабочем столе ярлыки. Адблок слетел. Попробовал сам вылечить, через сутки проблема вернулась. Прошу помогите, образ автозагрузки приложен.
P.S. груповые политики не позволяют мне скачать гуглхром.

 

[Vvvyg]

UVS ооочень старый использовали, в следующий раз качайте по ссылке отсюда.

Сделайте лог Farbar Recovery Scan Tool.

 

[SanBonsain]

Хорошо, скачаю новый.
Вот логи

 

[SanBonsain]

извините, не те логи, сейчас выложу правильные.

 

[SanBonsain]

ВОТ ПРАВИЛЬНЫЕ ЛОГИ!!!

 

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-823172589-1147749385-273777124-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2019-04-02 21:21 - 2019-04-03 09:32 - 000000000 ____D C:\Users\User\AppData\Local\Amigo
ShellServiceObjects: No Name -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
Task: {1479C05A-33A1-4646-9619-559914A39015} - \Microsoft\Windows\CertificateServicesClient\UserTask Notification1C -> No File <==== ATTENTION
Task: {177F3728-62F2-41E7-A7E4-1B2B94E27FED} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTaskHost => C:\ProgramData\Microsoft\User Account Pictures\Default Pictures\Administrator.exe
Task: {18E6D428-D26C-4169-BEDF-3B5BDDC952F6} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> No File <==== ATTENTION
Task: {1EC9510D-A439-4950-9399-B6399EDF9EA7} - \Microsoft\Windows\Autochk\Proxy -> No File <==== ATTENTION
Task: {50FB5A03-0E1E-48DE-B8A1-BEE9D7D2CD0F} - \Microsoft\Windows\User Profile Service\HiveUploadTask -> No File <==== ATTENTION
Task: {6375CC1C-D975-48D2-9CD5-63DB19B10D4A} - \Microsoft\Windows\WDI\ResolutionHost -> No File <==== ATTENTION
Task: {6B7AC694-8D6D-481B-9DD8-2A3A741ADA6D} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> No File <==== ATTENTION
Task: {73259F86-29D6-42FF-B1E7-634F6E40D4F8} - \Microsoft\Windows\CertificateServicesClient\UserTask-Roam -> No File <==== ATTENTION
Task: {762D6E13-44CC-4BC0-ABEB-957A4864A7ED} - \AlieappAutorun -> No File <==== ATTENTION
Task: {804F6138-BDF4-48CF-9172-F4D2D8C54490} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTaskHostCC => C:\ProgramData\Microsoft\User Account Pictures\Default Pictures\Administrator.exe
Task: {8905ECD8-016F-4DC2-90E6-A5F1FA6A841A} - \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Automated) -> No File <==== ATTENTION
Task: {96A9AADB-5684-4863-B17A-2C4ECA4C5562} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe (AVAST Software s.r.o. -> AVAST Software)
Task: {9B75C702-EA13-406A-BADB-6C588EE4375B} - \Microsoft\Windows\CertificateServicesClient\SystemTask -> No File <==== ATTENTION
Task: {9C255BA3-8419-466B-8FA9-033706A9253F} - \Microsoft\Windows\CertificateServicesClient\UserTask Notification -> No File <==== ATTENTION
Task: {A2CFB6F3-B3AE-4971-8E29-C415BE22D2E5} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
Task: {A316E645-1C56-45A6-BD6A-7DCA79778090} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> No File <==== ATTENTION
Task: {BDCBE38C-FE94-47E1-A88B-432461ED9B9D} - \Microsoft\Windows\WDI\ResolutionHost Show -> No File <==== ATTENTION
Task: {DE8699D2-8A05-42F7-8A85-5162AF47D26A} - \Microsoft\Windows\Windows Error Reporting\QueueReporting -> No File <==== ATTENTION
Task: {DE8BAE53-2809-4F75-85EF-427D364B9B2C} - \Microsoft\Windows\CertificateServicesClient\UserTask -> No File <==== ATTENTION
Task: {E6F3A527-8B0B-43FA-94EB-584032761924} - \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual) -> No File <==== ATTENTION
Task: {E8164C0D-216C-4B6B-9EB8-31BF958B8014} - \Microsoft\Windows\NetTrace\GatherNetworkInfo -> No File <==== ATTENTION
2019-03-30 18:06 - 2019-03-30 18:28 - 000000000 ____D C:\Users\Все пользователи\AVAST Software
2019-03-30 18:06 - 2019-03-30 18:06 - 000000000 ____D C:\Program Files\Common Files\AVAST Software
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\bmiolhceebkeljaikojgcoeefblcihje
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\hfllajanfnlimffhkjbondolipoimcgn
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\hldinpfplalidedlgakgkcpkhadbbjoa
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mklbhckkgddhlcdagmobdmnadpjokkkn
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\bmiolhceebkeljaikojgcoeefblcihje [2019-04-03]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\hfllajanfnlimffhkjbondolipoimcgn [2019-04-03]
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

 

[SanBonsain]

Хром скачался. Спасибо) Но в нём остались расширения мытные, bmiolhceebkeljaikojgcoeefblcihje которые. Пока что не вижу проблем, но они и не сразу вернулись в тот раз. Ну и главная страница в хроме не открывается как положено, просто пустой chrome/newtab.

 

[SanBonsain]

Отключил расширения, новая вкладка открылась как положено.

 

[SanBonsain]

после перезагрузки слетает адблок и настройки хром, снова появилось неизвестное расширение. Похоже проблема не решена.

 

[SanBonsain]

Вновь групповые политики появились. Что такое Persistent Routes? раньше их не было.

 

[SanBonsain]

Вновь реклама в браузере.

 

[SanBonsain]

Не помогло. Жду дальнейших указаний.

 

[Vvvyg]

Сделайте образ автозапуска актуальной версией UVS.

 

[SanBonsain]

Вот лог свежим Uvs.

 

[Vvvyg]

Уже новое сумели словить.

Выполните скрипт в uVS:

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\PROGRAM FILES\WIZARDS OF THE COAST\MTGA\MONOBLEEDINGEDGE\INIFILEPARSER.EXE
delall %SystemDrive%\PROGRAM FILES\WIZARDS OF THE COAST\MTGA\MONOBLEEDINGEDGE\INIFILEPARSER.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\INTERNET EXPLORER\EMIEUSERLIST\MSIMGSIZ.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\INTERNET EXPLORER\EMIEUSERLIST\MSIMGSIZ.EXE
deltsk %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
regt 27
deltmp
czoo
apply
restart

Если проблемы останутся, сделайте новый лог FRST.

 

[SanBonsain]

Проблема вернулась сразу после того как я скачал адблок. До этого 3 раза перезагружал и всё было хорошо.
Хром пишет что браузером управляет организация. Uvs пишет о постоянных маршутах(список IP - 53 штуки)
Прикладываю свежий лог Uvs и FRST (Хром повесил систему, логи до перезагрузки)

 

[SanBonsain]

Хром вешает систему, процесс не завершается.

 

[Vvvyg]

Выполните фикс в FRST:

CreateRestorePoint:
CloseProcesses:
CHR HKU\S-1-5-21-823172589-1147749385-273777124-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
PersistentRoutes:
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\hjpahjhcglfdopbholajmhpamgblhjhg [2019-04-04]
OPR Extension: (No Name) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\mklbhckkgddhlcdagmobdmnadpjokkkn [2019-04-04]
2019-04-01 18:17 - 2019-04-01 18:18 - 000000000 ____D C:\AdwCleaner
Task: {314178DA-BBA4-488D-9CC3-0837FB698AB6} - \Microsoft\Windows\Defrag\ScheduledDefrag Loader -> No File <==== ATTENTION
Task: {3A5D093C-1D67-401E-B23D-0BE73A3D2CF9} - \Microsoft\Windows\08C31E4D04CC2859F157AF50AF845B4488 -> No File <==== ATTENTION
Task: {3EFF6EBB-8D71-413E-9D84-85806EC20AA7} - \Microsoft\Windows\Active Directory Rights Management Services Client\AD RMS Rights Policy Template Management (Manual)Ms -> No File <==== ATTENTION
Task: {47A65C7A-5F20-434C-BC84-2B05BB9D149A} - \Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange Controls -> No File <==== ATTENTION
Task: {5AD9D82A-1506-4A01-AA99-21B03171FC3D} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {6C62A3D3-0646-4C92-91CE-AC32C086B697} - \Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange Controls88 -> No File <==== ATTENTION
Task: {900F8C86-92C7-4F22-8F53-46C1E4ECB9F9} - \Microsoft\Windows\08C31E4D04CC2859F157AF50AF845B44 -> No File <==== ATTENTION
Task: {B3FDD538-EA80-44FE-93FB-142BD33FB902} - \Microsoft\Windows\Multimedia\SystemSoundsService Wininet -> No File <==== ATTENTION
Task: {D0B14A8F-A717-4063-A6B0-A5E6E77A860B} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Reboot:

После перезагрузки удалите все расширения в Хроме и очистите кеш и cookie.

Сообщите, что с проблемами.

 

[SanBonsain]

Спасибо, пока всё нормально, чуть позже попробую скачать адблок(стоит-ли?). Эти расширения всё ещё остались в папке хрома, но в самом хроме не отображаются.

Сейчас заметил, мне сторонняя программа установила гугл документы офлайн, и сломала их. Будто подмена расширения произошла. Сейчас проверю.

 

[SanBonsain]

Ещё раз спасибо, всё работает, я уж думал ось сносить)
P.S. подчистил реестр и лишние папки.