Удаляются расширения с Yandex браузера.

**Lomero** · 05.03.2019, 09:57

Добрый день,скачал программу для работы,которую посоветовал друг.Все установил,появились сервисы mail.ru,их я удалил через панель управления.Но после браузер стал удалять расширение для блокировки рекламы,пишет:Это расширение опасно.А еще в добавок иногда ставятся другие расширения.В браузере появилась всплывающая реклама с нижней части,но пока не мучает.И вот,не знаю что делать,надеюсь на вашу помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.03.2019, 09:59

Уважаемый(ая) Lomero, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 05.03.2019, 21:04

Кейлоггер

Код:

c:\program files (x86)\system\winsysmon10.exe

сами установили?

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\kburg\AppData\Local\Packages\TelegramMessengerLLP.TelegramDesktop_t4vj0pshhgkwm\LocalCache\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Браузер Opera.lnk"        -> ["C:\Program Files\Opera\launcher.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1
22 - Task: \Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser - C:\Users\kburg\AppData\Local\ConnectedDevicesPlatform\3ab361d2fb5e4428\ActivitiesCache (file missing)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Lomero** · 06.03.2019, 08:40

Вот логи,буду ждать ответа.

**Vvvyg** · 06.03.2019, 14:05

Про кейлоггер не ответили..

Удалите остатки Avast! утилитой aswclear.exe в безопасном режиме. Он отсутствует в списке установленных программ, но работает притом.

**Lomero** · 06.03.2019, 15:52

Кейлоггер я не ставил,откуда он вообще появился.Но,спасибо вам за помощь,я очень благодарен.

**Vvvyg** · 06.03.2019, 20:40

Значит, удаляем кейлоггер.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
() [File not signed] C:\Program Files (x86)\System\winsysmon10.exe
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKU\S-1-5-21-3125061563-4128681615-2789473708-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{4625c403-087a-44c2-99ca-89076f7f177e}: [DhcpNameServer] 82.202.160.217 8.8.8.8
CHR Extension: (No Name) - C:\Users\kburg\AppData\Local\Google\Chrome\User Data\Default\Extensions\hehbgjdnbibkndghdlilefececadokpb [2019-03-06]
CHR Extension: (No Name) - C:\Users\kburg\AppData\Local\Google\Chrome\User Data\Default\Extensions\hfllajanfnlimffhkjbondolipoimcgn [2019-02-23]
CHR Extension: (No Name) - C:\Users\kburg\AppData\Local\Google\Chrome\User Data\Default\Extensions\hldinpfplalidedlgakgkcpkhadbbjoa [2019-03-03]
CHR Extension: (No Name) - C:\Users\kburg\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlhecljbcgojbgcgggehchghcdihphal [2019-02-27]
CHR Extension: (No Name) - C:\Users\kburg\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpiopepamhnnileoefikeakookcblmpc [2019-02-23]
CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
OPR Extension: (No Name) - C:\Users\kburg\AppData\Roaming\Opera Software\Opera Stable\Extensions\hehbgjdnbibkndghdlilefececadokpb [2019-03-06]
OPR Extension: (No Name) - C:\Users\kburg\AppData\Roaming\Opera Software\Opera Stable\Extensions\hldinpfplalidedlgakgkcpkhadbbjoa [2019-03-03]
OPR Extension: (No Name) - C:\Users\kburg\AppData\Roaming\Opera Software\Opera Stable\Extensions\jlhecljbcgojbgcgggehchghcdihphal [2019-02-27]
U3 aswbdisk; no ImagePath
2019-03-03 20:20 - 2019-03-03 20:21 - 000474456 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw36378bc01164115a.tmp
2019-03-03 20:20 - 2019-03-03 20:21 - 000249672 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw0be8d3f8eaebd02e.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 001034432 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw7bfdcaf14ddbe68c.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000379952 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw3b3506d2239efec8.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000216784 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw9743bc4778e8a8b2.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000205400 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw390b205ea3ff340f.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000167304 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswc7eacd56d7dd6831.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000112312 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswa961fd24f65a40ca.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000087944 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw4bb60d8deb46f55f.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000042288 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswd288dc8c26a2349e.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000037104 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswe77f719e5081f7d1.tmp
2019-03-03 20:20 - 2019-03-03 20:19 - 000015488 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\aswc06c8690d2073ee0.tmp
2019-03-03 20:20 - 2019-03-03 20:18 - 000320696 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw4cb9fe0878b7916d.tmp
2019-03-03 20:20 - 2019-03-03 20:18 - 000225680 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw7645ad788f7efd18.tmp
2019-03-03 20:20 - 2019-03-03 20:18 - 000196072 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw2a34a1293dee465d.tmp
2019-03-03 20:20 - 2019-03-03 20:18 - 000057960 _____ (AVAST Software) C:\WINDOWS\system32\Drivers\asw1204fa748c23e5d5.tmp
2019-02-21 11:21 - 2019-02-21 11:21 - 000000001 _RHOT C:\Program Files\Hola
Virustotal: C:\Users\kburg\Downloads\PUBG-Lite-Setup.exe
Folder: C:\ProgramData\PUBG
2019-03-05 23:07 - 2018-04-09 11:03 - 001728477 _____ C:\Users\Public\Documents\winsyslog101.txt
HKU\S-1-5-21-3125061563-4128681615-2789473708-1001\...\Run: [WinSysMonitorApp] => C:\Program Files (x86)\System\winsysmon10.exe [12288 2016-11-09] () [File not signed]
2016-11-09 21:04 - 2016-11-09 21:04 - 000012288 _____ () [File not signed] C:\Program Files (x86)\System\winsysmon10.exe
2016-11-09 21:16 - 2016-11-09 21:16 - 000297984 _____ () [File not signed] C:\Program Files (x86)\System\winsyslog32.dll
Folder: C:\Program Files (x86)\System
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128]
HKLM\...\StartupApproved\Run32: => "AvastUI.exe"
FirewallRules: [{6CEE049D-8F76-4275-892F-01E7C5C4656A}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{833634AC-82AA-44DC-8CBD-CB84F7936A4D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{49ADCEF9-D7C5-4E7A-81B9-85F9FD3CB30C}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe No File
FirewallRules: [{189A623B-4453-493D-9701-3758CC825C3F}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe No File
FirewallRules: [TCP Query User{220ADB34-CC8E-486A-816B-740B5A6759E4}C:\users\kburg\desktop\miner\nscpucnminer64.exe] => (Allow) C:\users\kburg\desktop\miner\nscpucnminer64.exe No File
FirewallRules: [UDP Query User{657CDDB1-0FB0-4289-8EF6-1765757E630E}C:\users\kburg\desktop\miner\nscpucnminer64.exe] => (Allow) C:\users\kburg\desktop\miner\nscpucnminer64.exe No File
FirewallRules: [TCP Query User{B79C8CB3-5431-43CF-AE5C-DF2F40175158}E:\games\assassin`s creed iii\ac3sp.exe] => (Allow) E:\games\assassin`s creed iii\ac3sp.exe No File
FirewallRules: [UDP Query User{4A685F25-0E02-4150-BC45-CA3B8D479A23}E:\games\assassin`s creed iii\ac3sp.exe] => (Allow) E:\games\assassin`s creed iii\ac3sp.exe No File
FirewallRules: [{D9DB714A-F57F-4789-91BB-771097D92C4A}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient_x64.exe No File
FirewallRules: [{C86B12C1-9CC1-48C4-A796-9F42CD5F3BB8}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd_x64.exe No File
FirewallRules: [{731A3107-2675-44A6-9684-51757B0B693C}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr_x64.exe No File
FirewallRules: [{12B1954A-B943-4B33-867D-DE5C21366677}] => (Allow) C:\Program Files\SoftEther VPN Client\vpnclient.exe No File
FirewallRules: [{918C6DFF-28A4-4C88-9942-6B2B559B783F}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmd.exe No File
FirewallRules: [{BDD8F872-81C3-4829-B584-5771C35C7CC3}] => (Allow) C:\Program Files\SoftEther VPN Client\vpncmgr.exe No File
FirewallRules: [{0AC56152-D64E-4C46-BE08-687EFAC994C3}] => (Allow) F:\vmware-authd.exe No File
FirewallRules: [{771577F0-55E5-40F0-BE19-7C547CB6D802}] => (Allow) F:\vmware-authd.exe No File
FirewallRules: [{37810FE1-6C9E-498E-ADEE-CBE00BA29076}] => (Allow) F:\vmware-hostd.exe No File
FirewallRules: [{E6177A0E-2B39-440A-B2A5-656F526CE903}] => (Allow) F:\vmware-hostd.exe No File
FirewallRules: [{14D5DE7F-C40B-4D45-B35C-8020640672D9}] => (Allow) C:\Users\kburg\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{19173E05-D9AA-422C-94A2-2C33BE43BAAF}] => (Allow) C:\Users\kburg\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{486663CD-678D-4A95-BC32-B16B4B675C92}] => (Allow) E:\Unity\Editor\Unity.exe No File
FirewallRules: [{A7E293C6-3163-4434-B2FB-2CE86B4F98BB}] => (Block) E:\Unity\Editor\Unity.exe No File
FirewallRules: [{EF8D7DFA-D46D-4D98-9F3B-33BD60AEF8CD}] => (Allow) E:\Unity\Editor\Data\Tools\nodejs\node.exe No File
FirewallRules: [{E2B70688-696D-452C-9EE9-250AE9B483E4}] => (Block) E:\Unity\Editor\Data\Tools\nodejs\node.exe No File
CMD: ipconfig /flushdns
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Lomero** · 07.03.2019, 09:40

Вот лог.Всплывающая реклама пропала,но расширения удаляются.

**Vvvyg** · 07.03.2019, 14:16

Если расширение удаляется самим браузером - надо обращаться в техподдержку Яндекса. Или просто пользоваться другими расширениями.

Удаляются расширения с Yandex браузера. (заявка № 222181)

Опции темы