Решена Вредоносное расширение в Yandex Browser

[airosiot]

Где-то уже 2 недели борюсь с вирусом, который поймал по-видимому через скачивание расширения браузера. Каждый раз unhackme и adwcleaner находит его, я его удаляю, после перезагрузки опять появляется. Прилагаю скриншот в adwcleaner.
Из неприятных эффектов на некоторых сайтах ( в которых раньше такого не было) нужно два раза нажимать на ссылку , иногда случаются pop-up на таких страницах. Также не воспроизводится музыка в в ВК через яндекс браузере, но воспроизводится в firefox.

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи

 

[airosiot]

Вот логи:

 

[Sandor]

Будьте внимательны:

По окончанию работы в папке AutoLogger, расположенной там же, куда распаковали архив, вы найдёте новый архив со своими логами. Архив имеет имя CollectionLog-yyyy.mm.dd-hh.mm. Где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2017.10.30-22.15

То есть, нужен архив, а не отдельные логи.

 

[airosiot]

Извиняюсь, вот:

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Auslogics Disk Defrag 10.2.0.1
IObit Driver Booster 9.3.0.209

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
 ExecuteRepair(13);
 ExecuteRepair(22);
RebootWindows(false);
end.

Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[airosiot]

Всё сделал, вот отчеты:

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {16283726-23FA-4E73-9866-A1E819ACF25F} - System32\Tasks\Driver Booster SkipUAC (airos) => "C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe"  /skipuac (Нет файла)
  Task: {BC606C19-9E28-4BE2-8F25-7ABC3E23D844} - System32\Tasks\FreedomeHelper => "C:\Program Files (x86)\F-Secure\Freedome\FHelper.exe"  (Нет файла)
  Task: {BBF78408-0547-43F1-A4B9-9E3553F6A76B} - System32\Tasks\ZoogVPNRunner => "C:\Program Files (x86)\ZoogVPN\ZoogVPN.exe"  (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  AV: COMODO Antivirus (Disabled - Out of date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
  AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Подозрительные

Glarysoft Malware Hunter v1.113.0.705 (HKLM-x32\...\Malware Hunter_is1) (Version: 1.113.0.705 - Glarysoft Ltd (RePack by Dodakaedr))
Malwarebytes Windows Firewall Control (HKLM\...\Windows Firewall Control) (Version: 6.9.9.6 - BiniSoft.org)

ставили самостоятельно?
Если даже так, деинсталлируйте их.

Сообщите результат.

 

[airosiot]

Все рекомендации выполнил, проги подозрительные удалил. adw всё равно видит то, что было в первом посте
голосовые сообщения и музыка в ВК не проигрывается через яндекс браузер. в Файрфокс работает

 

[Sandor]

Отчёты AdwCleaner упакуйте в архив и прикрепите. Обычно они там - C:\AdwCleaner\Logs\

Сделайте сброс настроек браузеров и проверьте. Результат сообщите.

 

[airosiot]

вот лог, после проверки, которую сделал сегодня несколько минут назад:

 

[Sandor]

Это ложное срабатывание на поиск Яндекса у AdwCleaner, не страшно.
Делайте сброс настроек браузеров.

 

[airosiot]

после сброса вроде всё хорошо, спасибо!

Если что-то всплывет, писать в эту тему?

 

[Sandor]

Лучше мы предпримем шаги, препятствующие повторению.

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[airosiot]

сделал

 

[Sandor]

Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

AMD Software v.23.10.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Google Drive v.1.0 Внимание! Скачать обновления
WinRAR 6.01 (64-разрядная) v.6.01.0 Внимание! Скачать обновления
FastStone Image Viewer 7.6 v.7.6 Внимание! Скачать обновления
Telegram Desktop v.4.16.8 Внимание! Скачать обновления
qBittorrent 4.4.5 v.4.4.5 Внимание! Скачать обновления
VLC media player v.3.0.18 Внимание! Скачать обновления
Yandex v.24.6.4.580 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^


Читайте Рекомендации после удаления вредоносного ПО