Суть проблемы записал на видео
[video]https://dl.dropboxusercontent.com/u/90283295/2016-06-12_14-57-27.mp4[/video]
Printable View
Суть проблемы записал на видео
[video]https://dl.dropboxusercontent.com/u/90283295/2016-06-12_14-57-27.mp4[/video]
Уважаемый(ая) [B]BeeRed[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
Сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK.zip"]Check Browsers' LNK by Dragokas & regist[/URL].
Ещё из наблюдений, эта проблема решается при закрытии одного из browser.exe в момент работы с яндекс браузером.
И ещё из наблюдений в папке с браузером постоянно создаются файлы вот такого вида ihhcdinmaceokcdmbddlclfejhadgpgg.json в( AppData\Local\Yandex\YandexBrowser\Application\50.0.2661.8608\Extensions)
Такиеже файлы прописаны как способ открытия определённых расширений в реестре вот такого вида
"AppX5sy1gww9q4g2gt941cdxxd7s07xe5vph"=hex(0):
"AppXqj98qxeaynz6dv4459ayz6bnqxbyaqcs"=hex(0):
"YandexM4A.NF6IJDOMQKHPH4T5OTDBA63X7E"=""
При их зачистке они появляются через некоторое время опять. Так же Сам флеш плеер при закрытии выше описанного browser.exe в окне видео потока пишет из разряда ошибка воспроизведения при использовании метода , а вот название метода -как и название одного из файлов с таким ужасно непонятным названием.
Перетащите лог Check_Browsers_LNK.log на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Вот логи. Линки написало что все кроме 2х удалены, эти 2 исправлены.
Отчёт ClearLNK приложите.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3080031405-459336946-565429524-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=cc8760fecabd8e2e296e7072ed9d49e5&q={searchTerms}
2016-06-09 11:20 - 2015-12-25 08:57 - 00000000 ____D C:\Users\lex_m\AppData\Roaming\Mra
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Java 8 обновите до [URL="http://www.java.com/ru/download/"]Java 8 Update 91[/URL].
Сообщите, что с проблемой.
Проблема осталась, логи прикрепил
записал ещё раз видео [url]https://dl.dropboxusercontent.com/u/90283295/123.mp4[/url]
PS
Ещё как появилась проблема, периодически мигают все ярлыки на рабочем столе, как будто что-то устанавливается и меняет способ открытия определённых расширений на свой.
Добавил ещё лог
Попробуйте удалить Adobe Flash Player и смотреть ролики на Youtube через HTML5. По проблемам Yandex Browser лучше обращаться в ТП Яндекс, в открытом доступе по его проблемам информации почти нет, и утилит, работающих с ним, тоже.
Ох если бы смена браузера помогала, я бы сюда даже бы не обратился )) Как раз таки началось с хрома) а потом в поисках решений пришлось поставить яндекс, а теперь и он стал так же работать.
[url]https://dl.dropboxusercontent.com/u/90283295/222.mp4[/url]
Я вот прямо чую, что в этом замешаны как-то вот эти скрипты.
[url]https://dl.dropboxusercontent.com/u/90283295/333.mp4[/url]
может подскажите в какую сторону стоит копать дальше?
Вот чем то он похож на Trojan.MulDrop5.40267
Вредоносные функции:
Завершает или пытается завершить
следующие пользовательские процессы:
opera.exe
chrome.exe
Изменения в файловой системе:
Создает следующие файлы:
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-48.png
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\jq.js
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-19.png
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\home.js
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-128.png
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\manifest.json
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\_metadata\verified_contents.json
%TEMP%\tmp7.tmp
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\Thumbs.db
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.html
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.js
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\jq.js
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\manifest.json
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-48.png
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-128.png
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-19.png
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.html
%TEMP%\tmp6.tmp
<LS_APPDATA>\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\background.js
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\_metadata\verified_contents.json
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.js
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\Thumbs.db
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\background.js
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-19.png
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-48.png
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-128.png
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\background.js
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\home.js
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\jq.js
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\Thumbs.db
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\_metadata\verified_contents.json
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.js
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\manifest.json
<LS_APPDATA>\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.html
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-48.png
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\jq.js
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-19.png
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\home.js
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\icon-128.png
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\manifest.json
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\_metadata\verified_contents.json
%TEMP%\tmp8.tmp
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\Thumbs.db
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.html
%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\popup.js
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\icon-128.png
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\icon-19.png
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\home.js
%TEMP%\tmp2.tmp
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\background.js
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\icon-48.png
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\popup.js
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\_metadata\verified_contents.json
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\popup.html
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\jq.js
<LS_APPDATA>\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\manifest.json
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\icon-128.png
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\icon-19.png
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\home.js
%TEMP%\tmp1.tmp
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\background.js
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\icon-48.png
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\popup.js
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\_metadata\verified_contents.json
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\popup.html
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\jq.js
%APPDATA%\Opera Software\Opera Stable\Extensions\fkegjdclmnlbpgoekbnfonmllgkhaiil\1.0_0\manifest.json
%TEMP%\tmp3.tmp
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\icon-48.png
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\jq.js
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\icon-19.png
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\home.js
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\icon-128.png
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\manifest.json
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\background.js
%APPDATA%\Google\Chrome\User Data\Default\Extensions\pipldannicggjnehllgnngigoihaibof\1.0_0\home.js
%TEMP%\tmp5.tmp
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\popup.html
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\popup.js
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\icon-19.png
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\icon-48.png
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\icon-128.png
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\background.js
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\home.js
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\jq.js
%TEMP%\tmp4.tmp
<LS_APPDATA>\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\background.js
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\popup.js
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\manifest.json
%APPDATA%\Xpom\User Data\Default\Extensions\lmjdhgblcaanmbmebpalbganeolknlcb\1.0_0\popup.html
Удаляет следующие файлы:
%TEMP%\tmp6.tmp
%TEMP%\tmp5.tmp
%TEMP%\tmp8.tmp
%TEMP%\tmp7.tmp
%TEMP%\tmp2.tmp
%TEMP%\tmp1.tmp
%TEMP%\tmp4.tmp
%TEMP%\tmp3.tmp
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Ладно темку можно закрыть, проблему решил более радикальным методом )
Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].
Удалите папку C:\FRST со всем содержимым.
Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].