• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Chrome media router (вредоносное расширение)

Статус
В этой теме нельзя размещать новые ответы.

mr.pivovar

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
В начале года была проблема с расширениями браузера для Chrome и Vivaldi.
Самостоятельно ставились некоторые расширения.
После попыток их удалить, браузер закрывался.
Расширения сами восстанавливались.
После проверок ADWCleaner и удаления ряда вредоносных файлов, нападки на Chrome прекратились.
Vivaldi я удалил, пользоваться было невозможно, он просто закрывался когда в него автоматом лезли расширения.
Каспер и adwcleaner ничего больше не нашли.

Сегодня попробовал поставить Vivaldi.
При его запуске после установки, расширения через пару минут снова добавились и браузер закрылся.
Каспер и adwcleaner ничего не нашли. Только Kerish Doctor ругнулся.

Как победить это плохое зло?
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Вивальди синхронизировали с сервером?
 

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: BitrixShellExt.FileIconOverlayExt Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_A: BitrixShellExt.FileIconOverlayExt_A Class - {057E631A-726E-4193-BB37-377DBD42812A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_K: BitrixShellExt.FileIconOverlayExt_K Class - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_O: BitrixShellExt.FileIconOverlayExt_O Class - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

mr.pivovar

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Пофиксил. Проблема осталась. В вивальди при запуске, постоянно добавляются расширения (смотрите скрин) - даже при условии что при предыдущем запуске я их все удалил в ноль. После того как расширения добавляются, через секунд 10, выскакивает сообщение предлагающее закрыть браузер. Я отказываюсь. После чего браузер закрывается сам, через 5 секунд.

Вот скрин расширений:

Приложил отчёты из Farbar.

Что делать?

P.s.
При каждом выходе из Хрома, профиль в нём, разлогинивается, это нормально?

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: BitrixShellExt.FileIconOverlayExt Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_A: BitrixShellExt.FileIconOverlayExt_A Class - {057E631A-726E-4193-BB37-377DBD42812A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_K: BitrixShellExt.FileIconOverlayExt_K Class - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_O: BitrixShellExt.FileIconOverlayExt_O Class - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
В вивальди при запуске, постоянно добавляются расширения (смотрите скрин)
Синхронизация включена с сервером?

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\MountPoints2: {b6058b64-b169-11e9-8b19-4ccc6acd1f83} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-3725016632-195583547-2905815135-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
    ContextMenuHandlers2: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
    ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
    ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
    ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} =>  -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
    AlternateDataStreams: C:\Users\SMART\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\SMART\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\StartupApproved\Run: => "ZDGTULVKfI"
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

mr.pivovar

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1
Синхронизация в Вивальди отключена.
Всё указанное выше, выполнил.
Лог приложил.


Синхронизация включена с сервером?

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.


  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\MountPoints2: {b6058b64-b169-11e9-8b19-4ccc6acd1f83} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-3725016632-195583547-2905815135-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
    ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> No File
    ContextMenuHandlers2: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> No File
    ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File
    ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
    ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> No File
    ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
    ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> No File
    AlternateDataStreams: C:\Users\SMART\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\SMART\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\StartupApproved\Run: => "ZDGTULVKfI"
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,958
Реакции
13,567
Баллы
2,203
Zona.exe - используете?
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,759
Реакции
2,540
Баллы
593
Качественный скриншот окна настроек Vivaldi, где речь идет о синхронизации, сделайте и прикрепите к сообщению.
 

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,759
Реакции
2,540
Баллы
593
Тогда еще скриншот свойств ярлыка запуска Vivaldi
 

mr.pivovar

Новый пользователь
Сообщения
7
Реакции
0
Баллы
1

Вложения

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,759
Реакции
2,540
Баллы
593
Даже не знаю, это расширение для Хрома вроде как считается легитимным
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,397
Реакции
5,988
Баллы
998
mr.pivovar, а попробуйте временно удалить кериш и понаблюдать за проблемой ))).
А ещё лучше забыть про него и больше не ставить этого антидоктора.
 

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
5,575
Реакции
1,856
Баллы
563
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу