Вредоносная ссылка - аааа!

[Valerie-A]

Здравствуйте, у меня какая-то странная проблема...

Постоянно всплывает сообщение о запрете какой-то загрузки. Касперский все время фиксирует попытки перейти по какой-то ссылке в Яндекс.Браузере.
Уведомление всплывает каждые 4 секунды и плавит мне мозг, приходится просто вырубать Касперский, а то тяжко.0
Еще обнаружила заспамленную историю поиска на ютуб какими-то числами. Если перейти по этому поиску, открываются видео слабоговорящего по-русски китайца с обзорами на товары Алиэкспресс.
И пункт третий - бывает, что Яндекс.Браузер не загружает страницы, даже поисковые. Если открыть Chrome или Explorer - все грузит моментально.

Было предпринято:
- Чистка антивирусами ADWcleaner, Чистилка, Касперский, Avast, DrWeb, Junkware Removal Tool
- Переустановка Яндекс.Браузера по нескольку раз, с полным удалением всех файлом через Revo Uninstaller

Помогите пожалуйста изгнать это хворь из моего железа

[Info_bot]

Уважаемый(ая) Valerie-A, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Валерия\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk"  -> ["C:\Users\Валерия\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\Валерия\OneDrive\Synthwave - Ярлык.lnk"       -> ["C:\Users\Валерия\Desktop\Synthwave"]
>>>  "C:\Users\Валерия\Favorites\Links\Интернет.url"  ->              hxxp://bartati.ru/?utm_source=favorites03&utm_content=500498fd00a487626b7b795f1bab1ed6&utm_term=003974928E58BBED2A94EF023DC4AD7F&utmd=20180405&utm_medium=p_365_

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1

Какие расширения в Яндекс.Браузере установлены?

[Valerie-A]

Лечение с ClearLNK сделала. Файл прикрепляю.

HijackThis тоже сделала.

В Яндекс.Браузере включены расширения AdGuard Антибаннер, Доступ к Рутрекеру, Skyload, Browsec.
Есть и другие расширения, которыми я не пользуюсь. Их там очень много, скрины списка прикрепляю.

[Vvvyg]

Отключите на время все расширения, в Яндекс.Браузере удалите куки и кэш.
Проверьте проблему.

[Valerie-A]

Отключите на время все расширения, в Яндекс.Браузере удалите куки и кэш.
Проверьте проблему.

Добрый день,

Кеш и куки почистила, выключила все расширения браузера.

Но как только я это сделала, стали появляться другие уведомления.
На скриншоте видно, что после выключения расширений в 12:15 веб-адреса в уведомлениях стали другими. Теперь там разные адреса, а раньше был только один конкретный.

После этого я несколько раз перезагружала компьютер, чтобы убедиться. Это тоже не помогло

[Vvvyg]

Уведомления появляются только когда запущен Яндекс.Браузер?

Сделайте лог Malwarebytes AdwCleaner.

[Valerie-A]

В инструкции сказано, что не надо нажимать "очистить". Но я это уже сделала утром. Не знала, что нельзя.
Сейчас угроз не находит, хотя проблема остается. Странные уведомления продолжать приходить, последнее было 15 минут назад.

Прикрепляю утренний отчет, было найдено две угрозы. PUP.Optional.Legacy и PUP.Optional.RussAd

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Valerie-A]

Прикрепляю архив

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
2019-02-10 21:15 - 2019-02-10 21:15 - 000000001 _RHOT C:\Users\Валерия\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
2019-02-10 21:15 - 2019-02-10 21:15 - 000000001 _RHOT C:\ProgramData\ecf00c38dc807e105d881c433a6b455dd2c606b6
2018-11-09 20:41 - 2018-11-09 20:41 - 000000006 _____ () C:\Users\Валерия\AppData\Roaming\addvalue.txt
C:\Users\Валерия\AppData\Local\Temp\*.*ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {13B4C52B-F783-4288-9111-7AC1C48696F7} - \Yandex.Stroka.User.S-1-5-21-3291505773-177866398-2371229527-1001 -> No File <==== ATTENTION
HKU\S-1-5-21-3291505773-177866398-2371229527-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_A2FC08C4D55031B93403C87CACFDA625"
FirewallRules: [{2064862D-B981-408D-9DFE-17A7D30FF1D3}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File
FirewallRules: [{AF251F69-8762-4880-A640-B3255379A35A}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe No File
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Проверьте стартовые страницы и поисковые системы в Яндекс.Браузер, утилит для этого не существует.

[Valerie-A]

Прикрепляю файл.

[Vvvyg]

Что с проблемой?

[Valerie-A]

Пока все так же, когда открываю Яндекс.Браузер, выскакивают уведомления в Касперском.
Вот свежий скриншот

[Vvvyg]

Могу только посоветовать удалить Яндекс браузер с пользовательскими данными и установить снова - если проблема только в нём.

[Valerie-A]

Могу только посоветовать удалить Яндекс браузер с пользовательскими данными и установить снова - если проблема только в нём.

Делала несколько раз. Используя другие браузеры, а именно гугл хром, эти уведомления пропадают.
Но диск постоянно загружен на 90-100% в простое системы. Отключала некоторые службы, как советуют при такой ситуации. Проверяла разными антивирусами, проверяла диск прогами Victoria и MHDD. Остается один вариант - вирус.
Компьютер стал сильно тормозить. И это при том, что он новый. Я собирала его осенью.

Как теперь избавляться от этой проблемы? Форматировать диск? Это очень нежелательно, есть проги, которые сложно будет переустанавливать.


А при установке Яндекс.Браузера с официального сайта уведомления появляются снова.

[Vvvyg]

Обратитесь сюда, например. Я не могу помочь с нестандартным браузером.