Браузер предупреждает о подмене страницы

[Mors]

Браузер предупреждает о подмене страницы

Здравствуйте !
В браузере Google Chrome появилось сообщение

Яндекс обнаружил, что вредоносная программа или вирус может вмешиваться в работу вашего браузера.

Посмотрите пожалуйста образ автозапуска

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0b3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

del %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1181719758-3770479180-1838150388-1000\$IQQTKVN.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\WBIOSRVP.DLL
del %Sys32%\WBIOSRVP.DLL

delref %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1181719758-3770479180-1838150388-1000\$IQQTKVN.EXE
deltmp
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

 

[Mors]

Выдает ошибку .

Текст скрипта содержит ошибку ,либо не содержит команд uVS...

 

[safety]

поправил скрипт,
проверьте еще раз.

 

[Mors]

Что то дюжа много угроз в Malwarebytes

 

[safety]

Mors,
исправленный скрипт нормально был выполнен?
добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки uVS

----------
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[Mors]

Да скрипт выполнен был нормально.
Лог прикрепил

 

[safety]

понятно,
значит ошибка с v400c не была исправлена.

 

[Mors]

Все сделал
После сканирования не нашел C:\AdwCleaner[R1].txt.
Прикрепил С1 S1

 

[safety]

это расширение в Хроме и Опере какую функцию выполняет?

CHR Extension: (Teddy Protection) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mofelbkemhligelpmjmohgphhmogbkni [2017-03-26]

 

[Mors]

Teddy Protection - защищает Вас от вредоносных сайтов, агрессивной рекламы и делает пребывание в интернете приятным!

Обратил внимание реклама всплывающая появилась (

 

[safety]

что сейчас с проблемами? пробуйте отключить Teddy и добавить проверенные решения по блокировке рекламы.

 

[Mors]

Если все дела в этом расширении , то слава богу )
Расширение удалил , не знаю как оно стало на комп ...
Проблем вроде пока не замечено
Спасибо за помощь !!!

 

[safety]

Mors,
+ это еще выполните вдогонку.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

R2 themctrl; C:\Windows\System32\themctrl.dll [362496 2011-12-24] () [File not signed]
CHR Extension: (Teddy Protection) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mofelbkemhligelpmjmohgphhmogbkni [2017-03-26]
OPR Extension: (Teddy Protection Lite) - C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Extensions\nojkagbjbhgnilkopgljfkhddmdjcjfn [2017-03-26]
EmptyTemp:
Reboot: