Заблокирован переход по вредоносной ссылке

[Francisk]

Добрый день. После действий товарища, браузеры пытаются переходить по вредоносным ссылкам, и Антивирус об этом сообщает многократно, но сам вирус не находит, и не могу его удалить. Вирус возможно был и раньше, но проявился сейчас либо это два разных вируса. Проблема возможно в расширениях для браузера Хром но проблема в том что они самостоятельно восстанавливаются. 

Более подробные наблюдения под спойлером:

Более подробное описание проблемы и моих действий:

Если вдруг это будет полезно, опишу как вирус появился и мои наблюдения за его проявлением.
В общем 4 дня назад приятель искал картинки на тему Санкт-Петербурга, и походу скачал что-то не то или не там а может вирус запакованный в jpeg , и с того момента при открытии Яндекс браузера через который он искал картинки, Антивирус Касперского стал ругаться по 10 раз в минуту что заблокирован переход по опасной ссылке, то есть браузер сам пытается пройти по этой ссылке как при вирусах заменяющих домашнюю страничку но тут замены домашней странички нет. В Загрузках этот файл как не докаченный тоже не висит.
Сссылка которую блочил антивирус на скриншоте №1. 
Затем я пробовал всяческими Adw Cleaner’ами разных компаний просканировать и почистить но не помогло(KVRT тоже попробовал как написано в инструкции по созданию темы), они находили только постоянно вылазиющие дополнения мейл. ру поиска и яндекс поиска для браузеров… и к ним еще вернемся…
Затем мне товарищь пытался тоже помочь и тоже попробовать всяческими клинерами просканировать систему, в процессе он установил Оперу, Яндекс браузер удалил . В итоге в опере происходит тоже самое но ссылка уже другая. Смотрите скриншот №2 
Потом я установил обратно Яндекс браузер, а так же откатил систему на 2 дня думая что поможет – не помогло, отменил восстановление системы. В итоге Яндекс браузер на месте и в нем больше либо не происходит самопроизвольный переход по опасной ссылке либо Антивирус этого больше не улавливает, но в Опере данная проблема осталась и я понимаю что сам источник проблемы ни куда не делся.
Я запустил еще раз Adw Cleaner и он опять нашел эти самостоятельно восстанавливающиеся плагины мейл.ру и тд , и после их удаления при входе в гугл Хром там появляются уведомления о том что установлены плагины(расширения) и там надо подтвердить их активацию или удалить… я их удаляю… Чищю еще раз клинером… не открывая Хрома открываю Оперу… и вуаля, ни каких переходов по вредоносной ссылке нету. Но только до тех пор пока не запущю Хром, при запуске Хрома устанавливаются эти плагины, и в опере вновь происходят самопроизвольные переходы по вредоносной ссылке… Таким образом я понимаю что источник всех бед эти самые плагины для Хрома, в одном из них видимо скрыт вирус… и как раз Клинер определяет один из них как Fake.Yandex .

Так же перечислю что делалось в попытках избавиться от вируса:
Проверял Автозагрузку, и папку автозагрузки и вкладку Автозагрузки в msconfig , искал эти ссылки в реесте думая что там прописан переход по этим ссылкам, искал(включив отображение скрытых файлов) в %appdata% и %programdata% какие нибудь .bat файлы и прочие подозрительные которые могут запустить скрипт или набор команд, Чистил кеш и куки и все файлы всех браузеров, чистил папку %temp% , сканировал систему всякими клинерами от рекламного вредоносного ПО , и просто чистилкой CCleaner, делал восстановление системы , делал проверку собственно Антивирусом… И может что-то еще забыл добавить, в общем перепробовал все рядовые способы.

 

 

CollectionLog-2018.04.26-12.23.zip

 

Помогите найти и побороть окаянного ;(

Изменено 26 апреля, 2018 пользователем Francisk

[Sandor]

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

запустил еще раз Adw Cleaner и он опять нашел

Покажите отчеты из папки c:\AdwCleaner\Logs\

 

Дополнительно:

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

[Francisk]

Скрипт выполнил.

 

Логи Adw Cleaner прилагаю AdwCleaner.rar

 

Выполнить 

 

 

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

не могу, так как не могу найти пункт или вкладку "личный кабинет" . 
Показывает что у меня FREE версия, скриншот прилагаю 

[Sandor]

Показывает что у меня FREE версия

Значит этот пункт пропустите и делайте полную проверку.

[Francisk]

Сделал полную проверку, вот результат scan.txt

[Sandor]

Если уже закрыли, повторите сканирование и удалите все найденное (поместить в карантин).

 

Затем:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Francisk]

Сделал. Addition.txt FRST.txt Shortcut.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\data [2017-06-17] [not signed]
  FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\defaults [2017-06-17] [not signed]
  FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\lib [2017-06-17] [not signed]
  FF Extension: (No Name) - C:\Users\User\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\resources [2017-06-17] [not signed]
  CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7BE2F9E536-51F9-4897-A86C-967DCE045903%7D&gp=822363
  CHR DefaultSearchKeyword: Default -> mail.ru
  CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

Следы ранее установленного Avast удалите по соотв. инструкции - Чистка системы после некорректного удаления антивируса.

[Francisk]

Отмечу что после очистки всего того что нашел Malwarebytes' Anti-Malware. , а нашел он немало , попытки перехода по вредоносной ссылке в Опере вроде бы прекратились. 

Но почти все расширения в гугл хроме которые сами восстанавливаются, все так же после перезапуска восстановились сами,в том числе и поиск мейл.ру 

 

Далее, выполнил указания по FRST64 из вашего последнего сообщения, не уверен что с первого раза выполнил правильно, я сначала прочитал ваше сообщение и сдела как в нем, то есть скопировал код , но ни куда его не вставлял, подумав что так и задумано , что он читается программой из буфера обмена.

Потом прочитал инструкцию по ссылке, и понял что код надо было сохранить в текстовике с нужным названием и положить рядом с программой, поэтому повторил операцию. И прилагаю оба лога с обоих попыток. Fixlog1.txt Fixlog2.txt

 

Теперь по поводу чистки хвостов Avasta, судя по логам и по моим наблюдениям, от него там пара папок пустых да пара пустых записей в реестре , утановлен и удален он был видимо дааавно, я его на этом компьютере и не видел за год что им пользуюсь а винду на нем не переустанавливали видимо очень давно, поэтому я даже не знаю какая версия и в какую директорию была установлена. Поэтому сделал по инструкции, перешел в безопасный режим, и программа предложила вариант Avast 4 хоум эдишн вроде, и нестандартный путь соответственно я не указывал, нажал uninstall , компьютер перезагрузился в обычный режим, на всякий случай я запустил еще раз деинсталятор Аваста от имени администратора несколько раз выбрав все остальные варианты не указывая нестандарный путь, и не делая после каждого перезагрузку а перезагрузился после последнего. 
Пока что как то так получается.

[Sandor]

в гугл хроме которые сами восстанавливаются, все так же после перезапуска восстановились сами,в том числе и поиск мейл.ру

Зайдите в Настройки поиска

chrome://settings/searchEngines

и удалите все незнакомые и неиспользуемые Вами поисковые системы.

 

Сообщите результат.

[Francisk]

Сделал это еще вчера вечером, в результате вот запускаю хром и 4 плагина сами восстанавливаются , и один из них опять мейл.ру  

[regist]

@Francisk, а для чего вы рассширение от касперского удаляете?

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[Francisk]

Удалял просто все что AdwCleaner считал потенциально вредоносным плагином.

 

AutorunsVTchecker. запустил, просканировал , он выдал сообщение о том что все файлы в автозагрузке проверены на virustotal.

 

вот архив с логами uVS PK_2018-04-27_16-13-50.7z

[regist]

 

 

далял просто все что AdwCleaner считал потенциально вредоносным плагином.

специально перепроверил. В логе AdwCleaner-а нет никаких упоминаний этого плагина, так что он его плохим не считает. Почему вы его так посчитали не понятно.

 

 

вот архив с логами uVS Прикрепленный файл PK_2018-04-27_16-13-50.7z 660,69К скачиваний 1

Посмотрел лог. Опять таки не увидел там упомянутых вами плагинов.

 

 

4 плагина сами восстанавливаются , и один из них опять мейл.ру

В итоге они у вас восстановились или удалены?

[Francisk]

На тот моммент я уже удалил гугл хром и соответственно им некуда было восстанавливаться, но на компьютере они оставались. 

По поводу плагина KIS , может тогда не adw cleaner а другая программа его детектила, уже не помню столько программ и логов за пару дней. Но в любом случае я его туда не приглашал И до возникновения проблемы его в хроме не было, а хром используется регулярно каждый день, и раньше этого плагинатам не было да и не нужен он там. 

В общем проблему считаю скорей всего решенной, часть вредоносных файлов которые лежали в папке фаерфокса удалены одним из скриптов в сообщениях выше, затем я запустил еще раз malwarebytes , все просканировал, добавил в карантин все файлы, удалил хром, и удалил все файлы вручную которые malwarebytes счел потенциально опасными , почти все они были в аппдате в папке хрома , и всего парочка в других папках, я их все удалил, установил заново хром и все наладилось, больше ни какие расширения сами не устанавливаются, и произвольные переходы по небезопасным ссылкам прекратились, по крайней мере пока что.
Так что думаю на этом все, и благодарствую за оказанную помощь.