Проблема с расширением хрома

[Tares]

Собственно проблема в том, что после установки гугл хром и подключения к интернету устанавливается расширение антимат которое невозможно удалить(заблокировать можно). Копания в реестре, загрузке, проги, типа, reg organazer не помогают. Создание новой учетной записи тоже. Система Вин 8 32. Расширение не мешает, но сам факт!

[DesignerMix]

Tares, что предшествовало появлению расширения? Устанавливали какие-нибудь программы?

В списке установленных расширений в google chrome (chrome://extensions/) под надписью "Включено" есть надпись Установлено в соответствии с корпоративным правилом?

[Tares]

Ничего особенного не ставилось. В браузере стояли несколько эдблокеров. Антивирус Нод 32 с актуальными базами. Вначале расширение установилось в папку расширений User\appdata\local....\ lojlndafeofcppnhanhbejokmgefacjb. В режиме разработчика видно ID. Также в папке local появилась подпапка с компонентами этого расширения. Все было удалено. Реестр подчищен. Расширение удалилось. Проблема, казалось ушла. Но через дня 4 заглянул в расширения. И снова обнаружил антимат. Начались танцы с бубном, которые ни к чему не привели. Лишних подпапок нет. Ни в appdata, ни в local, ни roaming да нигде. Причем что характерно -отключаешь интернет устанавливаешь хром: нет расширения. Подключаешься к интернету и вот оно - тут как тут. Пробовал в реестре кроме параметров ссылки искать - ничего относящегося нет. Может это какая-нибудь фича гугла? Заблокировал установив особые правила на папку с расширением - если папку удалить она появляется вновь. Process hacker во время удаления показывает только активность хрома и всё. Какие будут мнения?

[mike 1]

Могу помочь, но мне нужны логи 2 утилит.

Шаг 1.

• Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
• Распакуйте архив с утилитой в отдельную папку
• Запустите checkbrowserslnk.exe. Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
• После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
• Прикрепите этот отчет в вашей теме.

Шаг 2.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[DesignerMix]

Реестр подчищен

Где именно вы удаляли ключи реестра?

Что-бы не быть голословным приведу найденную здесь инструкцию:

• Самое главное. Вспоминаем, какие программы вы ставили перед появлением этой заразы. И идем в Панель управления - Удалением программ, где находим и удаляем их.
• Для начала чистим реестр. Для Windows делаем так: в командной строке (Выполнить-CMD) запускаем утилиту "regedit".
  
  Необходимо найти и почистить руками следующие ветки:
  
  [HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallSources]
  [HKEY_LOCAL_MACHINE\Software\Policies\Google\Chrome\ExtensionInstallForcelist]
  
  Для 64-битной системы адрес выглядит уже так:
  
  HKEY_LOCAL_MACHINE\Software\Wow6432Node\Google\Chrome\Extension...
• Теперь ищем папки "Extensions", "Extension Rules" и "Extension State" по адресу:
  
  C:\Users\[ваш пользователь]\AppData\Local\Google\Chrome\User Data\Default
  
  И чистим их для гарантии. Это удалит все расширения.
• Обязательно сканируем компьютер антивирусными программами или софтом, который специализируется на удалении гадостей. Зловред скорее всего прописался в автозагрузку и это может свести на нет все ваши старания. Находим в ней раздел автозагрузки и чистим. Но антивирус это не отменяет!

[Tares]

Где именно вы удаляли ключи реестра?

Всё удалялось с помощью Reg organazer, и ключи и файлы.

Отправлено спустя 1 минуту 9 секунд:

Могу помочь, но мне нужны логи 2 утилит.

Извините, но ваши ути не рулят.

[DesignerMix]

Всё удалялось с помощью Reg organazer, и ключи и файлы.

Иными словами вы не знаете что именно удалялось...

[mike 1]

Извините, но ваши ути не рулят.

У всех получается собрать логи, а у вас нет. Ну да ладно. Я рад что вы решили проблему самостоятельно.

[Tares]

Иными словами вы не знаете что именно удалялось..

[Tares]

Иными словами вы не знаете что именно удалялось...

Отправлено спустя 3 минуты 19 секунд:

У всех получается собрать логи, а у вас нет. Ну да ладно. Я рад что вы решили проблему самостоятельно.

Вы не поняли. В логах нет ничего что могло-бы хоть натолкнуть на мысль.

[Tares]

Решил проблему тривиально. Из установленного хрома скопировал в другое место папку расширения Антимат(ID можно посмотреть в режиме разработчика). Удалил в хроме user data. Отключил интернет. Запустил хром. Спустя некоторое время папка user data заново создалась. Закинул в папку с extensions скопированную папку с антиматом и в ее свойствах выставил только возможность чтения. Всё. Синхронизация прошла. Расширения которые были восстановились. Антимат нет.