Не могу убить Yandex.Sovetnik - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 15.10.2020

Размещено 15.10.2020 01:32:43

Добрый день!

Проблема в точности соответствует описанию в посте https://forum.esetnod32.ru/messages/forum6/topic15974/message109464/#message109464.
Учитывая, что папки всегда разные, предполагаю, что пускать этого паразита в дом не стоит.

Перелопатил интернет и выполнил кучу рекомендаций по его удалению. Не помогло.
Удалил все продукты яндекса, даже верой и правдой служивший более 10 лет PuntoSwitcher.
Отключал все расширения Google Chrome, особенно friGate и другие VPN.
Переустанавливал несколько раз Chrome. Сам браузер, конечно, же оригинальный, не от ненавистного яндекса.
После деинсталляции чистил ветки реестра, в которых были упоминания о Chrome, и удалял папки Chrome в Program Files и профиле.
Но как только после чистой установки включаю синхронизацию профиля Google Chrome, то ESET ругается на Sovetnik'а.

Интуитивно понимаю, что можно еще попробовать обнулить профиль синхронизации Google Chrome, а потом еще и пересоздать профиль Windows, но хочется сделать это только тогда, когда уже совсем вариантов не останется.

Сделал все, как по инструкции в вышеупомянутом посте.
Файлы прилагаю.
Прошу вашей помощи.

Прикрепленные файлы

Sovetnik.zip (944.28 КБ)

Сообщений: 6177

Баллов: 4941

Регистрация: 25.05.2010

Размещено 15.10.2020 02:17:10

Система может получать Yandex.Sovetnik при обновлении одной из установленных программ.
Программа обновляется... и вы получаете советник.
в сети должна быть информация в состав каких программ ( или расширений ) он входит.
Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html

Изменено: RP55 RP55 - 15.10.2020 02:24:47

Сообщений: 5

Баллов: 2

Регистрация: 15.10.2020

Размещено 15.10.2020 02:29:21

Цитата
RP55 RP55 написал: Система может получать Yandex.Sovetnik при обновлении одной из установленных программ. Программа обновляется... и вы получаете советник. С сети должна быть информация в состав каких программ он входит. Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html

Цитата

RP55 RP55 написал:
Система может получать Yandex.Sovetnik при обновлении одной из установленных программ.
Программа обновляется... и вы получаете советник.
С сети должна быть информация в состав каких программ он входит.
Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html

Спасибо, но у меня никогда не было явно работающего оригинального советника. и, в принципе, уже удалены все расширения из Chrome

Сообщений: 6177

Баллов: 4941

Регистрация: 25.05.2010

Размещено 15.10.2020 12:15:26

В uVS выполните.
Дополнительно > Очистить корзину, удалить временные файлы... Alt+Del
+
Далее лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 5

Баллов: 2

Регистрация: 15.10.2020

Размещено 15.10.2020 14:14:42

Все выполнил.
Пароль к архиву отправил личным сообщением.

Сообщений: 5

Баллов: 2

Регистрация: 15.10.2020

Размещено 15.10.2020 14:16:02

Логи FRST

Прикрепленные файлы

FRST_201015.zip (32.24 КБ)

Сообщений: 6177

Баллов: 4941

Регистрация: 25.05.2010

Размещено 15.10.2020 16:39:42

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> No File ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> No File ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627 FirewallRules: [{5173BA58-4EFE-40CD-977C-4EAAAAA5C22C}] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File FirewallRules: [{C61EEA9F-8AE9-4A68-82AE-0D435A5585B6}] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction ? <==== ATTENTION Edge StartupUrls: Default -> "hxxps://www.google.ru/search?newwindow=1&ei=KLrzXvrkMqLCmwWbiovwDg&q=cureit+download&oq=%D1%81%D0%B3%D0%BA%D1%83%D1%88%D0%B5&gs_lcp=CgZwc3ktYWIQAxgBMgYIABAKECoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAo6AggAOgYIABAKEB46CAgAEAUQChAeUIATWI0jYIUzaABwAHgAgAFSiAGjA5IBATeYAQCgAQGqAQdnd3Mtd2l6&sclient=psy-ab","hxxps://z-oleg.com/secur/avz/download.php","hxxps://www.google.com/search?q=sdfsfsdfas&oq=sdfsfsdfas&aqs=chrome..69i57j0l6.747j0j7&sourceid=chrome&ie=UTF-8","edge://newtab/" EmptyTemp: Reboot:

Код

  

ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2233627
FirewallRules: [{5173BA58-4EFE-40CD-977C-4EAAAAA5C22C}] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{C61EEA9F-8AE9-4A68-82AE-0D435A5585B6}] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Edge StartupUrls: Default -> "hxxps://www.google.ru/search?newwindow=1&ei=KLrzXvrkMqLCmwWbiovwDg&q=cureit+download&oq=%D1%81%D0%B3%D0%BA%D1%83%D1%88%D0%B5&gs_lcp=CgZwc3ktYWIQAxgBMgYIABAKECoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAo6AggAOgYIABAKEB46CAgAEAUQChAeUIATWI0jYIUzaABwAHgAgAFSiAGjA5IBATeYAQCgAQGqAQdnd3Mtd2l6&sclient=psy-ab","hxxps://z-oleg.com/secur/avz/download.php","hxxps://www.google.com/search?q=sdfsfsdfas&oq=sdfsfsdfas&aqs=chrome..69i57j0l6.747j0j7&sourceid=chrome&ie=UTF-8","edge://newtab/"


EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Сообщений: 6177

Баллов: 4941

Регистрация: 25.05.2010

Размещено 15.10.2020 16:54:08

...

Изменено: RP55 RP55 - 15.10.2020 17:05:04

Сообщений: 5

Баллов: 2

Регистрация: 15.10.2020

Размещено 16.10.2020 00:35:43

Добрый день!

Все выполнил.

После перезапуска Sovetnik обнаружился в папке расширений Chrome средством удаления вредоносных программ Windows (ранее скрипты были только во временных папках, и обращался к ним только сам Chrome.exe).
Содержимое папки C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions
15.10.20 13:59 <DIR> mbacbcfdfaapbcnlnbmciiaakomhkbkb
15.10.20 13:59 <DIR> mdnmhbnbebabimcjggckeoibchhckemm
15.10.20 23:37 <DIR> nmmhkkegccagdldgiimedpiccmgmieda
14.10.20 23:42 <DIR> pkedcjkdefgpdelpbcmbmeomcjbeemfm
Файлы чистить не пытался, выбирал 4 раза команду "Игнорировать".

Журнал ESET выгрузил повторно.
Результаты отработки скрипта FRST и папку с 4-мя подпапками расширений прилагаю (временно пришлось отключить защиту).
Пароль на fixlog - тот же.

P.S. После перезагрузки центр обновления Windows заругался, что хочет обновить ОС до версии 1903.
Так понимаю, что скрипт FRST включил-таки их автопроверку.
Автообновление Windows у меня было выключено еще с прошлого года, когда после месяца мучений я так и не смог перейти на этот кривой релиз. Обновление после перезагрузки виснет и ничего не происходит. Даже как-то на сутки оставлял. Испробовал все возможные варианты из интернета, включая самого помощника по исправлению ошибок обновления. Пришлось везде, где можно, все заблокировать, включая политики и запрет всем пользователям на запуск каких-либо файлов из папки C:\Windows10Upgrade.

Обновление пока не запускаю.

P.P.S. Проверил на всякий случай, есть ли какие-то расширения в Chrome (ранее я их удалял). Видимо, во время работы скрипта 2 восстановились:
friGate Light
friGate CDN - бесперебойный доступ к сайтам
Числятся поврежденными.

Именно их я удалил самыми первыми, еще 2 месяца назад, когда начал борьбу с советником.

Ничего с ними пока не делаю.

Жду дальнейших указаний.

Прикрепленные файлы

Sovetnik_201015.jpg (94.98 КБ)

WinUpdateCenter_201015.jpg (177.65 КБ)

ChromeExts_201015.jpg (78.92 КБ)

Fixlog_201015.7z (1.89 КБ)
ESET_log_201015.txt (14.02 КБ)
Extensions_201015.7z (2.12 МБ)

Сообщений: 6177

Баллов: 4941

Регистрация: 25.05.2010

Размещено 16.10.2020 01:45:41

mbacbcfdfaapbcnlnbmciiaakomhkbkb
Это friGate и именно в этом расширении антивирус и находит советник ( на снимке это видно )
---------
В таких случаях рекомендуется отключать расширения по очереди и смотреть, что измениться.