Перенаправляет на фейковый алиэкспресс BEST ALIEXPRESS COM
И яндекс браузер запускается не из оригинального пути, а отсюда C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar (тут же есть и другие ярлыки, проводника и тп)
Любые попытки удалить всё по этому пути проблему не решают. Антивирусы вирус не видят. Только адв клинер видит.
Если почистить адв клинером то удаляется весь браузер и после установки нового всё чисто, но как только я синхронизирую браузер с данными из облака то он сразу же вылезиет (я такое заметил на старой винде). В расширения ничего левого нету. Чисто.
Я как только винду поставил всё чисто было и даже после синхронизации, но сегодня в планировщик опять залезли эти обновления браузера. Я удалил всё от туда и сами файлы, но всё равно откуда то вылезиет. В эксплорере нету перенаправления на фейковый сайт.
Вот картинка что нашёл адв клинер и лог с HiJackThis.
http://forum.oszone.net/attachment.php?attachmentid=153754&stc=1&d=1534492568
http://forum.oszone.net/attachment.php?attachmentid=153749&stc=1&d=1534490831
http://forum.oszone.net/attachment.php?attachmentid=153750&stc=1&d=1534490831
# -------------------------------
# Malwarebytes AdwCleaner 7.2.2.0
# -------------------------------
# Build: 07-17-2018
# Database: 2018-08-13.2
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 08-17-2018
# Duration: 00:00:12
# OS: Windows 10 Enterprise 2016 LTSB
# Scanned: 41819
# Detected: 14


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.FakeYandex C:\ProgramData\Yandex\YandexBrowser
PUP.Optional.FakeYandex C:\Program Files (x86)\Yandex\YandexBrowser
PUP.Optional.FakeYandex C:\Users\Power\AppData\Local\Yandex\YandexBrowser
PUP.Optional.FakeYandex C:\Users\Power\AppData\Roaming\Yandex\YandexBrowser

***** [ Files ] *****

PUP.Optional.FakeYandex C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
PUP.Optional.FakeYandex C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

PUP.Optional.FakeYandex C:\Windows\Tasks\Обновление Браузера Яндекс.job
PUP.Optional.FakeYandex C:\Windows\System32\Tasks\Обновление Браузера Яндекс

***** [ Registry ] *****

PUP.Optional.FakeYandex HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\YandexBrowser
PUP.Optional.FakeYandex HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B9C7E3F2-2DFE-4822-8397-7A473C8F3A63}
PUP.Optional.FakeYandex HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9C7E3F2-2DFE-4822-8397-7A473C8F3A63}
PUP.Optional.FakeYandex HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Обновление Браузера Яндекс
PUP.Optional.FakeYandex HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{77ADC42B-B55F-443B-A930-B4DF37EB2C84}
PUP.Optional.Legacy HKLM\Software\Wow6432Node\Microsoft\MediaPlayer\ShimInclusionList\browser.exe

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

ps. если восстановиться до контрольной точки то всё так же чисто и без вирусов, но как только я синхронизируюсь то он сражу же или через некоторое время появляется. Проверил на старой винде

Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

Вот что ещё нашёл, но удаление этого не помогает. оно само как то возвращается сюда.
http://forum.oszone.net/attachment.php?attachmentid=153751&stc=1&d=1534491797
http://forum.oszone.net/attachment.php?attachmentid=153752&stc=1&d=1534491905

Ждем CollectionLog, собранный с помощью Автологера.

Ждем CollectionLog, собранный с помощью Автологера. »
Добавил

Вот здесь я думаю и сидит вирус. Он ярлыки меняет. Или же нет?
-[script] "C:\Users\Power\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\f3c2c98e54a11410\pinned.lnk" -> ["C:\Windows\system32\rundll32.exe" =>> %systemRoot%\system32\shell32.dll,Options_RunDLL 0]
Стока выше из лога Check Browsers

Не нужно править первый пост. Добавьте лог в следующий через кнопку "Расширенный режим" - Прикрепить файл.

http://forum.oszone.net/attachment.php?attachmentid=153757&stc=1&d=1534494229

Добавьте лог в следующий »
Сделал

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.


Компьютер перезагрузится.


Отчеты AdwCleaner из папки C:\AdwCleaner тоже прикрепите к следующему сообщению.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Нашёл ещё в реестре вот это. Думаю такого не должно быть там. Всё в кружке связано с яндексом и там какие то то значения
http://forum.oszone.net/attachment.php?attachmentid=153758&stc=1&d=1534494669

Вот из Адв Клинера http://forum.oszone.net/attachment.php?attachmentid=153759&stc=1&d=1534494780

Если зайти на алиэкспресс в режиме инкогнито то переадресации нету

Вот логи
http://forum.oszone.net/attachment.php?attachmentid=153763&stc=1&d=1534496836
http://forum.oszone.net/attachment.php?attachmentid=153764&stc=1&d=1534496855

FRST.txt забыли


Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки отметьте:

Сброс политик IE
Сброс политик Chrome

Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/22250/#post-157088).

FRST.txt забыли »
дополнил

Может дело в синхронизации? Может какое то скрытое расширение сидит ?

Пока не очищайте ADW, похоже на яндекс есть ложное срабатывание.

Сообщил разработчикам. Надеюсь, исправят быстро.

Пока не очищайте ADW, похоже на яндекс есть ложное срабатывание. »
Но почему тогда идёт переадресация на фейковый сайт? Может через безопасный режим без сети попробовать всё удалить ?

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-4210323460-1934851564-2988966185-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').


Если изменений не будет, попробуйте сбросить настройки браузера (https://yandex.ru/support/browser/faq/faq-settings.html).

Выделите следующий код: »
В АВЗ выполнить?