Не могу убить Yandex.Sovetnik

1
RSS
Добрый день!

Проблема в точности соответствует описанию в посте https://forum.esetnod32.ru/messages/forum6/topic15974/message109464/#message109464.
Учитывая, что папки всегда разные, предполагаю, что пускать этого паразита в дом не стоит.

Перелопатил интернет и выполнил кучу рекомендаций по его удалению. Не помогло.
Удалил все продукты яндекса, даже верой и правдой служивший более 10 лет PuntoSwitcher.
Отключал все расширения Google Chrome, особенно friGate и другие VPN.
Переустанавливал несколько раз Chrome. Сам браузер, конечно, же оригинальный, не от ненавистного яндекса.
После деинсталляции чистил ветки реестра, в которых были упоминания о Chrome, и удалял папки Chrome в Program Files и профиле.
Но как только после чистой установки включаю синхронизацию профиля Google Chrome, то ESET ругается на Sovetnik'а.

Интуитивно понимаю, что можно еще попробовать обнулить профиль синхронизации Google Chrome, а потом еще и пересоздать профиль Windows, но хочется сделать это только тогда, когда уже совсем вариантов не останется.

Сделал все, как по инструкции в вышеупомянутом посте.
Файлы прилагаю.
Прошу вашей помощи.
Система может получать Yandex.Sovetnik при обновлении одной из установленных программ.
Программа обновляется... и вы получаете советник.
в сети должна быть информация в состав каких программ ( или расширений ) он входит.
Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html
Изменено: RP55 RP55 - 15.10.2020 02:24:47
Цитата
RP55 RP55 написал:
Система может получать Yandex.Sovetnik при обновлении одной из установленных программ.
Программа обновляется... и вы получаете советник.
С сети должна быть информация в состав каких программ он входит.
Прочтите, что они сами пишут:  https://browser.yandex.ru/help/recommendation/sovetnik.html
Спасибо, но у меня никогда не было явно работающего оригинального советника. и, в принципе, уже удалены все расширения из Chrome
В uVS выполните.
Дополнительно > Очистить корзину, удалить временные файлы... Alt+Del
+
Далее лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/
Все выполнил.
Пароль к архиву отправил личным сообщением.
Логи FRST
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  

ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
FirewallRules: [{5173BA58-4EFE-40CD-977C-4EAAAAA5C22C}] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{C61EEA9F-8AE9-4A68-82AE-0D435A5585B6}] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Edge StartupUrls: Default -> "hxxps://www.google.ru/search?newwindow=1&ei=KLrzXvrkMqLCmwWbiovwDg&q=cureit+download&oq=%D1%81%D0%B3%D0%BA%D1%83%D1%88%D0%B5&gs_lcp=CgZwc3ktYWIQAxgBMgYIABAKECoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAo6AggAOgYIABAKEB46CAgAEAUQChAeUIATWI0jYIUzaABwAHgAgAFSiAGjA5IBATeYAQCgAQGqAQdnd3Mtd2l6&sclient=psy-ab","hxxps://z-oleg.com/secur/avz/download.php","hxxps://www.google.com/search?q=sdfsfsdfas&oq=sdfsfsdfas&aqs=chrome..69i57j0l6.747j0j7&sourceid=chrome&ie=UTF-8","edge://newtab/"


EmptyTemp:
Reboot:


Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
...
Изменено: RP55 RP55 - 15.10.2020 17:05:04
Добрый день!

Все выполнил.

После перезапуска Sovetnik обнаружился в папке расширений Chrome средством удаления вредоносных программ Windows (ранее скрипты были только во временных папках, и обращался к ним только сам Chrome.exe).
Содержимое папки C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions
15.10.20  13:59    <DIR>          mbacbcfdfaapbcnlnbmciiaakomhkbkb
15.10.20  13:59    <DIR>          mdnmhbnbebabimcjggckeoibchhckemm
15.10.20  23:37    <DIR>          nmmhkkegccagdldgiimedpiccmgmieda
14.10.20  23:42    <DIR>          pkedcjkdefgpdelpbcmbmeomcjbeemfm
Файлы чистить не пытался, выбирал 4 раза команду "Игнорировать".

Журнал ESET выгрузил повторно.
Результаты отработки скрипта FRST и папку с 4-мя подпапками расширений прилагаю (временно пришлось отключить защиту).
Пароль на fixlog - тот же.

P.S. После перезагрузки центр обновления Windows заругался, что хочет обновить ОС до версии 1903.
Так понимаю, что скрипт FRST включил-таки их автопроверку.
Автообновление Windows у меня было выключено еще с прошлого года, когда после месяца мучений я так и не смог перейти на этот кривой релиз. Обновление после перезагрузки виснет и ничего не происходит. Даже как-то на сутки оставлял. Испробовал все возможные варианты из интернета, включая самого помощника по исправлению ошибок обновления. Пришлось везде, где можно, все заблокировать, включая политики и запрет всем пользователям на запуск каких-либо файлов из папки C:\Windows10Upgrade.

Обновление пока не запускаю.

P.P.S. Проверил на всякий случай, есть ли какие-то расширения в Chrome (ранее я их удалял). Видимо, во время работы скрипта 2 восстановились:
friGate Light
friGate CDN - бесперебойный доступ к сайтам
Числятся поврежденными.

Именно их я удалил самыми первыми, еще 2 месяца назад, когда начал борьбу с советником.

Ничего с ними пока не делаю.

Жду дальнейших указаний.
Sovetnik_201015.jpg (94.98 КБ)
mbacbcfdfaapbcnlnbmciiaakomhkbkb
Это friGate  и именно в этом расширении антивирус и находит советник ( на снимке это видно )
---------
В таких случаях рекомендуется отключать расширения по очереди и смотреть, что измениться.
1
Читают тему (гостей: 1)