По данным яндекса вредоносная программа вмешивается в работу браузера.

[linktab]

Неожиданно появилась картинка с сообщением " По данным яндекса вредоносная программа вмешивается в работу браузера."

CollectionLog-2020.12.05-11.24.zip

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis:

O15 - Trusted Zone: http://webcompanion.com

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[linktab]

Выполнил

AdwCleaner[S00].txt

 

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[linktab]

Готово

AdwCleaner[C01].txt AdwCleaner[S01].txt

[linktab]

4 часа назад, Sandor сказал:

Здравствуйте!

 

"Пофиксите" в HijackThis:

O15 - Trusted Zone: http://webcompanion.com

 

Дополнительно:

 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.
 

 

Addition.txt FRST.txt

[Sandor]

Что с проблемой, больше не проявлялась?

[linktab]

5 минут назад, Sandor сказал:

Что с проблемой, больше не проявлялась?

Пока не выскакивает. Спасибо.

[Sandor]

Пока наблюдаете проделайте завершающие шаги:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[linktab]

Готово

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft OneDrive v.20.169.0823.0008 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45838 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 8.57 v.8.57 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

[linktab]

Reg Organizer, версия 8.57 v.8.57 это коммерческая версия продукта, на 1 год. куплена за деньги.  Недавно прошло автоматическое обновление. Буду писать производителю.

[Sandor]

Производителю ничего писать не нужно. Это было просто предупреждение, прочтите заявление MS по предложенной ссылке.

Мы также не рекомендуем пользоваться всевозможными оптимизаторами, чистильщиками и т.д. и т.п. Всё необходимое для подобных целей уже есть в системе и, в отличии от сторонних продуктов производителей, работает корректно.

[linktab]

05.12.2020 в 17:28, Sandor сказал:

Производителю ничего писать не нужно. Это было просто предупреждение, прочтите заявление MS по предложенной ссылке.

Мы также не рекомендуем пользоваться всевозможными оптимизаторами, чистильщиками и т.д. и т.п. Всё необходимое для подобных целей уже есть в системе и, в отличии от сторонних продуктов производителей, работает корректно.

Ответ от разработчиков Reg Organizer
ChemTable Software Support. support@chemtable.com
Мы провели тестирование работы Яндекс.Браузера вместе с Reg Organizer и нам не удалось воспроизвести проблему, о которой вы пишите. Подобные сообщения от браузера зачастую появляются в случае, когда какая-то программа пытается изменить браузер по умолчанию, сменить поисковую систему или стартовую страницу браузера. Возможно, была установка новых программ, в процессе которой браузер зафиксировал попытку изменения браузера по умолчанию или его настроек, в результате чего и выдалось такое сообщение.

Относительно программы, которую вам посоветовали пользователи на форуме фан-клуба Лаборатории Касперского, которая отметила Reg Organizer как подозрительную. Мы ориентируемся на отчеты антивирусных продуктов в VirusTotal. Это сервис, который проверяет файлы всеми передовыми антивирусными продуктами (на сегодня их около 70) и выдает общий отчет. Reg Organizer на текущий момент не определяется ни одним из ключевых антивирусов как какая-либо угроза https://www.virustotal.com/gui/file/caf9bb994ef86697626cb641901dc18d1eed15f6cccf2a528c20572b573b9683/detection
Случаи срабатывания антивирусов бывают, но достаточно редко и мы сразу на них реагируем, связываясь с разработчиком антивируса для выяснения и устранения причин блокировки (если это не было ложным срабатыванием).

К сожалению, мы не знакомы с программой SecurityCheck by glax24 & Severnyj и ее авторами. Узнали о ней впервые именно от вас. Опять же, по результатам проверки VirusTotal у нее есть срабатывания от антивирусов https://www.virustotal.com/gui/file/6fbd17dc86e44b0a3fa4ab8d4d5cadd541bb67cc1dc505cc3c5b495eadd2946e/detection
Немного изучив их сайт, заметили, что 27 марта 2019 года они добавили в свои базы большую часть утилит, ссылаясь на
https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities о том, что корпорация не гарантирует работоспособность системы после работы сторонних утилит и рекомендует скачивать такие программы с проверенных сайтов для исключения заражения вирусами. Видимо, авторы SecurityCheck  приняли эту статью как сигнал к действию по удалению всех утилит.
Best regards,
Chemtable Software

 

 

[Sandor]

6 часов назад, linktab сказал:

сигнал к действию по удалению всех утилит

Вы ведь обратили внимание на слова "подозрение", "рекомендуется" и "возможно" в вердикте SecurityCheck. И да, это действительно рекомендация, основывающаяся на приведенной выше статье MS.