Перейти к содержанию
Правила раздела

Не удаляемое расширение T-Cashback в Яндекс Браузере

Zroq

Автор Zroq
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Zroq Новичок

Zroq

Опубликовано
Опубликовано (изменено)

При каждом перезапуске браузера после удаления расширения происходит повторная его установка и активация.

Также проверка такими средствами как Dr web и adwcleaner не помогли.

CollectionLog-2024.11.23-20.22.zip

Изменено пользователем Zroq
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
22 часа назад, Zroq сказал:

При каждом перезапуске браузера после удаления расширения происходит повторная его установка и активация

синхронизация браузера с настройками в Интернете включена? Если да, то отключите и больше не включайте.


 

Цитата

toc

VideoAdsBlocker

удалите через Панель управления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\admin\AppData\Roaming\toc\OqbH.exe','');
 QuarantineFile('C:\Program Files (x86)\mhFmzDedXrQilOoYpfR\rMcfLHD.dll','');
 QuarantineFile('C:\Program Files (x86)\TuitYKkXBDBlC\uAyeByT.dll','');
 QuarantineFile('C:\Users\admin\AppData\Local\Programs\50e9e9729f69\845cd0d126.msi','');
 QuarantineFile('C:\Program Files (x86)\tAbSlTpqRvaU2\gpdrqemmEinlP.dll','');
 QuarantineFile('C:\Program Files (x86)\uvJUUOgOU\premil.dll','');
 DeleteFile('C:\Program Files (x86)\uvJUUOgOU\premil.dll','64');
 DeleteFile('C:\Program Files (x86)\tAbSlTpqRvaU2\gpdrqemmEinlP.dll','64');
 DeleteFile('C:\Users\admin\AppData\Local\Programs\50e9e9729f69\845cd0d126.msi','64');
 DeleteSchedulerTask('market-navigator-S-1-5-21-2265842486-3373829898-951245898-1001');
 DeleteSchedulerTask('auRWxJzelZBbne');
 DeleteSchedulerTask('AjoejtXuwWzibba2');
 DeleteSchedulerTask('moSIsCGWtrTuRdEQezR2');
 DeleteFile('C:\Program Files (x86)\TuitYKkXBDBlC\uAyeByT.dll','64');
 DeleteSchedulerTask('wuqgJpnaJUihtfpea2');
 DeleteFile('C:\Program Files (x86)\mhFmzDedXrQilOoYpfR\rMcfLHD.dll','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x64');
 DeleteFile('C:\Users\admin\AppData\Roaming\toc\OqbH.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','toc','x32');
 DeleteFile('C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • mistorwar
      DPC:MALWARE.URL и HOSTS:SUSPICIOUS.URL (Было расширение T-cashback в Яндекс браузерe, но от него вроде бы получилось отбиться)
      Автор mistorwar
      Основным симптомом наличия вируса стало постоянное открытие Chrome браузера с фишинговыми сайтами (клоны вк, whatsapp и почему-то bongacams). От T-Cashback вроде бы получилось избавиться, он больше не появляется в браузере, скорее всего заслуга CureIt. Изначально он находил 3 угроз, теперь только 2. chrome.exe c DPC:MALWARE.URL и hosts возможно HOSTS:SUSPICIOUS.URL. Но вот от них он избавиться не способен, hosts он умудряется "вылечить", но chrome.exe не может и при перезагрузке они снова появляются при проверке. Пока смогу прикрепить только отчет FRST, завтра при необходимости загружу Autologger.
      Addition.txtFRST.txt
      Ещё была такая особенность, что при уходе машины в спящий режим ПК отключался от интернета и очень неохотно подключался обратно, помогала только перезагрузка.
    • Hotei
      Бесконечно появляется расширение в яндексе.
      Автор Hotei
      Появляется после удаления расширение в бразуре "T-cahback", которое я никогда не скачивал. Касперский при проверке ничего не нашёл.
      При этом браузер может раз в 3-4 часа вылететь, иногда с какой-нибудь неизвестной ошибкой. 
    • Know3626
      Не удаляется расширение t cashback и find it pro
      Автор Know3626
      Отключил синхронизацию и сделал 2 файла из программы( увидел на другом посте) 
      FRST.txt Addition (2).txt
    • Игорь11
      kis блокирует яндекс браузер
      Автор Игорь11
      Здравствуйте.
      Внезапно появилась проблема с KIS. В первой половине этого (2023) года KIS стал блокировать любые сайти, открываемые с помощью браузеров Яндекс, Атом и Хромиум-ГОСТ.
      В Яндекс-браузере открывается и работает только поиск яндекса. Переход на любой сайт:
      Не удаётся установить соединение с сайтом.
      Соединение сброшено.
      В Атом и Хромиум-ГОСТ блокируется всё.
      Попытка поставить в исключение не помогла.
      Помогает только приостановка защиты KIS.
      Другие браузеры (Edge, Хром, Firefox, Опера) работают без проблем.
      Подскажите, если знаете, в чём тут дело?
      ОС - Виндовс10проф
      KIS 21.3.10.391
      Всё официально и с последними обновлениями.
    • Adowne
      [РЕШЕНО] xoscarfcysrp.exe не удаляется
      Автор Adowne
      Доброго времени суток.

      Через Malwarebytes решил проверить пк на вирусы, обнаружился некий товарищ, появился сервис KMDIPP с путём C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe, просмотрел через реестр, удалял, менял значения, в свою очередь сервис пересоздавался и бойкотировал, отправляя левый трафик на непонятные порты. (скриншот прикрепил)
      После проходки Uvs, доверенные процессы логгер пометил подозрительными. (лог прикрепил)
      После происходящего, сел на Dr.Web, пришло много заблокированных команд с Powershell (Прикрепить не могу, расширение файла другое), потом успокоился, прошёлся снова Uvs в надежде, что это что-то исправит, однако те же процессы как Dialer.exe и прочие были помечены а сервис KMDIPP с exeшником остался.


      CollectionLog через AutoLogger сделал после всех манипуляций.
       

      CollectionLog-2025.05.31-13.16.zip USER-PC_2025-05-31_11-05-12_v5.0.RC2.v x64.7z
×
×
  • Создать...