Закрыто Chrome media router (вредоносное расширение)

[mr.pivovar]

В начале года была проблема с расширениями браузера для Chrome и Vivaldi.
Самостоятельно ставились некоторые расширения.
После попыток их удалить, браузер закрывался.
Расширения сами восстанавливались.
После проверок ADWCleaner и удаления ряда вредоносных файлов, нападки на Chrome прекратились.
Vivaldi я удалил, пользоваться было невозможно, он просто закрывался когда в него автоматом лезли расширения.
Каспер и adwcleaner ничего больше не нашли.

Сегодня попробовал поставить Vivaldi.
При его запуске после установки, расширения через пару минут снова добавились и браузер закрылся.
Каспер и adwcleaner ничего не нашли. Только Kerish Doctor ругнулся.

Как победить это плохое зло?

 

[akok]

Вивальди синхронизировали с сервером?

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: BitrixShellExt.FileIconOverlayExt Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_A: BitrixShellExt.FileIconOverlayExt_A Class - {057E631A-726E-4193-BB37-377DBD42812A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_K: BitrixShellExt.FileIconOverlayExt_K Class - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_O: BitrixShellExt.FileIconOverlayExt_O Class - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[mr.pivovar]

Пофиксил. Проблема осталась. В вивальди при запуске, постоянно добавляются расширения (смотрите скрин) - даже при условии что при предыдущем запуске я их все удалил в ноль. После того как расширения добавляются, через секунд 10, выскакивает сообщение предлагающее закрыть браузер. Я отказываюсь. После чего браузер закрывается сам, через 5 секунд.

Вот скрин расширений:

2019-08-18_14-07-29.png

Посмотреть и скачать с Яндекс Диска

yadi.sk

Приложил отчёты из Farbar.

Что делать?

P.s.
При каждом выходе из Хрома, профиль в нём, разлогинивается, это нормально?

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt: BitrixShellExt.FileIconOverlayExt Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_A: BitrixShellExt.FileIconOverlayExt_A Class - {057E631A-726E-4193-BB37-377DBD42812A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_C: BitrixShellExt.FileIconOverlayExt_C Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_E: BitrixShellExt.FileIconOverlayExt_E Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_K: BitrixShellExt.FileIconOverlayExt_K Class - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_L: BitrixShellExt.FileIconOverlayExt_L Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_O: BitrixShellExt.FileIconOverlayExt_O Class - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  00BitrixShellExt_S: BitrixShellExt.FileIconOverlayExt_S Class - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[akok]

В вивальди при запуске, постоянно добавляются расширения (смотрите скрин)

Синхронизация включена с сервером?

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\MountPoints2: {b6058b64-b169-11e9-8b19-4ccc6acd1f83} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-3725016632-195583547-2905815135-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
  ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
  ContextMenuHandlers2: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
  ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> No File
  ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> No File
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} =>  -> No File
  ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
  ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> No File
  AlternateDataStreams: C:\Users\SMART\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\SMART\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\StartupApproved\Run: => "ZDGTULVKfI"
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[mr.pivovar]

Синхронизация в Вивальди отключена.
Всё указанное выше, выполнил.
Лог приложил.

Синхронизация включена с сервером?

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\MountPoints2: {b6058b64-b169-11e9-8b19-4ccc6acd1f83} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-3725016632-195583547-2905815135-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File
  ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
  ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> No File
  ContextMenuHandlers2: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> No File
  ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> No File
  ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> No File
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
  ContextMenuHandlers5: [igfxDTCM] -> {9B5F5829-A529-4B12-814A-E81BCB8D93FC} => -> No File
  ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
  ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => -> No File
  AlternateDataStreams: C:\Users\SMART\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\SMART\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  HKU\S-1-5-21-3725016632-195583547-2905815135-1000\...\StartupApproved\Run: => "ZDGTULVKfI"
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Zona.exe - используете?

 

[mr.pivovar]

Zona.exe - используете?

Да.

 

[thyrex]

Качественный скриншот окна настроек Vivaldi, где речь идет о синхронизации, сделайте и прикрепите к сообщению.

 

[mr.pivovar]

Качественный скриншот окна настроек Vivaldi, где речь идет о синхронизации, сделайте и прикрепите к сообщению.

 

[thyrex]

Тогда еще скриншот свойств ярлыка запуска Vivaldi

 

[mr.pivovar]

Тогда еще скриншот свойств ярлыка запуска Vivaldi

 

[mr.pivovar]

Тогда еще скриншот свойств ярлыка запуска Vivaldi

Вот что обнаружил Кериш при запуске вивальди после последнего обновления.

 

[thyrex]

Даже не знаю, это расширение для Хрома вроде как считается легитимным

 

[regist]

mr.pivovar, а попробуйте временно удалить кериш и понаблюдать за проблемой ))).
А ещё лучше забыть про него и больше не ставить этого антидоктора.

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!