Как удалить вирус фекового яндекса? Я уже винду переустановил но он опять вылез -_-
Перенаправляет на фейковый алиэкспресс BEST ALIEXPRESS COM
И яндекс браузер запускается не из оригинального пути, а отсюда C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar (тут же есть и другие ярлыки, проводника и тп) Любые попытки удалить всё по этому пути проблему не решают. Антивирусы вирус не видят. Только адв клинер видит. Если почистить адв клинером то удаляется весь браузер и после установки нового всё чисто, но как только я синхронизирую браузер с данными из облака то он сразу же вылезиет (я такое заметил на старой винде). В расширения ничего левого нету. Чисто. Я как только винду поставил всё чисто было и даже после синхронизации, но сегодня в планировщик опять залезли эти обновления браузера. Я удалил всё от туда и сами файлы, но всё равно откуда то вылезиет. В эксплорере нету перенаправления на фейковый сайт. Вот картинка что нашёл адв клинер и лог с HiJackThis. http://forum.oszone.net/attachment.p...1&d=1534490831 http://forum.oszone.net/attachment.p...1&d=1534490831 Лог из Адв Клинера
# -------------------------------
# Malwarebytes AdwCleaner 7.2.2.0 # ------------------------------- # Build: 07-17-2018 # Database: 2018-08-13.2 # Support: https://www.malwarebytes.com/support # # ------------------------------- # Mode: Scan # ------------------------------- # Start: 08-17-2018 # Duration: 00:00:12 # OS: Windows 10 Enterprise 2016 LTSB # Scanned: 41819 # Detected: 14 ***** [ Services ] ***** No malicious services found. ***** [ Folders ] ***** PUP.Optional.FakeYandex C:\ProgramData\Yandex\YandexBrowser PUP.Optional.FakeYandex C:\Program Files (x86)\Yandex\YandexBrowser PUP.Optional.FakeYandex C:\Users\Power\AppData\Local\Yandex\YandexBrowser PUP.Optional.FakeYandex C:\Users\Power\AppData\Roaming\Yandex\YandexBrowser ***** [ Files ] ***** PUP.Optional.FakeYandex C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk PUP.Optional.FakeYandex C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk ***** [ DLL ] ***** No malicious DLLs found. ***** [ WMI ] ***** No malicious WMI found. ***** [ Shortcuts ] ***** No malicious shortcuts found. ***** [ Tasks ] ***** PUP.Optional.FakeYandex C:\Windows\Tasks\Обновление Браузера Яндекс.job PUP.Optional.FakeYandex C:\Windows\System32\Tasks\Обновление Браузера Яндекс ***** [ Registry ] ***** PUP.Optional.FakeYandex HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\YandexBrowser PUP.Optional.FakeYandex HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B9C7E3F2-2DFE-4822-8397-7A473C8F3A63} PUP.Optional.FakeYandex HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9C7E3F2-2DFE-4822-8397-7A473C8F3A63} PUP.Optional.FakeYandex HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Обновление Браузера Яндекс PUP.Optional.FakeYandex HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{77ADC42B-B55F-443B-A930-B4DF37EB2C84} PUP.Optional.Legacy HKLM\Software\Wow6432Node\Microsoft\MediaPlayer\ShimInclusionList\browser.exe ***** [ Chromium (and derivatives) ] ***** No malicious Chromium entries found. ***** [ Chromium URLs ] ***** No malicious Chromium URLs found. ***** [ Firefox (and derivatives) ] ***** No malicious Firefox entries found. ***** [ Firefox URLs ] ***** No malicious Firefox URLs found. ########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ########## ps. если восстановиться до контрольной точки то всё так же чисто и без вирусов, но как только я синхронизируюсь то он сражу же или через некоторое время появляется. Проверил на старой винде |
|
Вот что ещё нашёл, но удаление этого не помогает. оно само как то возвращается сюда.
http://forum.oszone.net/attachment.p...1&d=1534491797 http://forum.oszone.net/attachment.p...1&d=1534491905 |
Ждем CollectionLog, собранный с помощью Автологера.
|
Цитата:
Вот здесь я думаю и сидит вирус. Он ярлыки меняет. Или же нет? -[script] "C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\f3c2c98e54a11410\pinned.lnk" -> ["C:\Windows\system32\rundll32.exe" =>> %systemRoot%\system32\shell32.dll,Options_RunDLL 0] Стока выше из лога Check Browsers |
Не нужно править первый пост. Добавьте лог в следующий через кнопку "Расширенный режим" - Прикрепить файл.
|
|
Цитата:
|
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin Отчеты AdwCleaner из папки C:\AdwCleaner тоже прикрепите к следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
Нашёл ещё в реестре вот это. Думаю такого не должно быть там. Всё в кружке связано с яндексом и там какие то то значения
http://forum.oszone.net/attachment.p...1&d=1534494669 |
Вот из Адв Клинера http://forum.oszone.net/attachment.p...1&d=1534494780
|
Если зайти на алиэкспресс в режиме инкогнито то переадресации нету
|
|
FRST.txt забыли
Подробнее читайте в этом руководстве. |
Цитата:
Может дело в синхронизации? Может какое то скрытое расширение сидит ? |
Пока не очищайте ADW, похоже на яндекс есть ложное срабатывание.
|
Сообщил разработчикам. Надеюсь, исправят быстро.
|
Цитата:
|
Подробнее читайте в этом руководстве. Если изменений не будет, попробуйте сбросить настройки браузера. |
Цитата:
|
Цитата:
|
Цитата:
|
|
Добавилась задача в планировщике на запуск вот этого C:\Users\Power\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs
Описание:Обновление Браузера Яндекс Переадресация не пропала |
Цитата:
Проблема проявляется только на сайте али? |
Цитата:
Я на старой винде как то не заметил и авторизовался на фейковом сайте, он как обычный алиэкспресс но только страшно оплату проводить. Я там чуть не указал свои данные платёжной карты и вовремя заметил что это фейковый сайт |
Раз уж Вы это заметили, смените пароль и, если возможно, включите 2FA (двух-факторную аутентификацию).
Проделайте завершающие шаги, в т.ч. проверку уязвимых мест: 1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.
|
Воот щас вообще ничего не понятно. Зашёл на сайт бест алиэкспресс, нажал на товар и перекинуло на него и ссылка там была вот такая sale. aliexpress.com. Дальше я начал тыкать на другие товары и там уже не было в начале ссылки слова Best. Если зайти с эксплорера то там же нету этого бест алиэкспресс, но если тыкнуть на товар некоторое надписи на этой ссылке переворачиваются. Проверил на телефоне и там ничего не перевёрнуто
вот скрин перевёрнутого текста http://forum.oszone.net/attachment.p...1&d=1534500223 |
Именно если зайти на главную страницу алиэкспресса кидает на best.aliexpress. com
|
Цитата:
|
Цитата:
Вот здесь перевёрнутый текст у меня https://sale.aliexpress.com/ru/__pc/...id=32541682691 он перевёрнут только в эксплорере |
Лог
Скрытый текст
http://forum.oszone.net/attachment.php?attachmentid=153769&stc=1&d=1534500695
|
Цитата:
Сам браузер попробуйте обновить. ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.2214.14393.0 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB4013429 Внимание! Скачать обновления HotFix KB4019472 Внимание! Скачать обновления HotFix KB4022715 Внимание! Скачать обновления HotFix KB4025339 Внимание! Скачать обновления HotFix KB4034658 Внимание! Скачать обновления -------------------------- [ SecurityUtilities ] -------------------------- HiJackThis v.1.0.0 Данная программа больше не поддерживается разработчиком. Очень устаревшая версия. Деинсталлируйте. --------------------------------- [ P2P ] --------------------------------- µTorrent 3.5.3 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ------------------------------- [ Browser ] ------------------------------- Yandex v.18.6.1.770 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Цитата:
Цитата:
Цитата:
|
Изменений нету
У меня бывало такое что после установки обновлений комп не запускался А мне что из этого качать? Накопительный пакет обновления для Windows 10 Version 1607 для систем на базе процессоров x64 (KB4013429) или Накопительный пакет обновления для Windows 10 Version 1607 (KB4013429) |
Это HotFix-ы, влияющие на безопасность системы. Перед установкой можете самостоятельно создать контрольную точку.
Цитата:
Проверил у себя в IE - тоже переворачивается. В Chrome и в Edge - нормально. Цитата:
|
А это не те обновы которые устраняют дыру процессоре? Meltdown и ип
Ну судя по возрасту домена best.aliexpress.com 12 лет, то может это и не вирус, а вот то что адв клинер находит это мне не нравится. К тому же на этом 23.62.196.103 айпи расположен и сам алиэкспресс. Инфу смотрел тут https://довериевсети.рф/site/best.aliexpress.com |
Цитата:
|
Вот сейчас установил браузер Опера и ярлык сразу же перешёл по этому пути C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
И в нём тоже открывается этот бест алиэкспресс |
Пишет мне установщик обновы для Эксплорера - Обновление не применимо к вашему компьютеру.
|
Цитата:
|
Цитата:
|
Значит при очередном обновлении и IE тоже обновится.
|
Загрузился я сейчас значит в безопасный режим без инета и ничего нету! Кроме одного файла, но я его удалил адв клинером. Потом загрузился туда же, но с поддержкой сетевых драйверов и тоже ничего нет, но как только я подключился к инету то сразу же адв клинер нашёл фейк Яндекс.
|
Вот я удалил Адв клинером яндекс и перезагрузился в обычный режим где и установил гугл браузер. По началу вирусов не было, но как только я импортировал закладки из яндекс браузера, то адв нашёл фейк яндекс в хроме и фейк маил ру -_- я удалил без перезагрузки пк. потом тоже самое по несколько раз. И после скачал Яндекс где вошёл в свой аккаунт. Синхронизировал и получил фейк яндекс в адв клинере. несколько раз проделал то же что и с хромом - удалял фейк яндекс без перезагрузки. И вот сейчас уже нет переадресации на бест алиэкспресс. Но в адв клинере висит так же фейк яндекс. Как такое возможно, что в закладках вирус сидит?
|
Сейчас имеет быть ложное срабатывание на Yandex
|
Цитата:
Ещё раз прямо сейчас проверил Адв клинером и он опять нашёл фейк яндекс:D маааааагия |
http://forum.oszone.net/attachment.p...1&d=1534771114
оказывается то что это не фейк сайт |
Намудрили они.
|
Время: 16:10. |
Время: 16:10.
© OSzone.net 2001-