Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите удалить следы вредоносного расширения для Хром (http://forum.oszone.net/showthread.php?t=355785)

Rommel 18-10-2024 20:46 3031782

Помогите удалить следы вредоносного расширения для Хром
 
Всем привет. Раньше пользовался расширением SaveFromNet для скачивания видео с ютуба. Спустя время оно работать у меня перестало да и надобность отпала. А потом вроде вообще удалил. Сейчас же мне каждый раз при запуске компа и включении ютуба вылазит такое окно (фото 1). Его закрыл и ок. Но еще на каждом видео появилось в углу Summary, которое при нажатии что-то просит установить. Скрин не могу сделать, вчера заблочил адгардом. Это тоже блочил, но с этим не помогает. При установке SaveFromNet надо было установить Tampermonkey (тоже расширение). Когда гуглил проблему, все писали, что это из-за него. Но я не могу их удалить, так как у меня нет этих расширений уже - давно снес. Но почему-то оно все равно отображается под ютубом (есть кнопка для скачивания, хоть ничего и не работает).
Когда-то еще ставил программу на комп SaveFromNet. Нашел через поиск, ярлык привел в папку к Эджу в расширения. Ну я все расширения Эджа и удалил (просто снес всю папку, так как через ПКМ-Удалить открывался установка и удаление программ, но искомого в этом списке не было. Но проблема осталась. Причем на всех браузерах, так что зря я удалял хром.
Я знаю, что надо логи прикладывать - но ведь это же не вирус, а просто хвост программы. Или все же логи нужны? Ну или может подскажете какую утилиту, которая найдет и удалит эту заразу


Ах да, в гугле видел, что советуют удалить OrangeMonkey. Вроде когда-то ставил, но теперь следов найти не могу. Вот еще скрин

Sandor 19-10-2024 18:21 3031802

Здравствуйте!

Цитата:

Цитата Rommel
Или все же логи нужны? »

Да, нужны.

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

Rommel 20-10-2024 12:48 3031836

Вложений: 1
Прикрепил

Sandor 21-10-2024 08:06 3031856

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Цитата:

Avast Update Helper
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '');
 DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '');
 DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '64');
 DeleteService('cpuz150');
 DeleteService('cpuz152');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis:
Код:

O4 - HKCU\..\StartupApproved\Run: [Orbitum Update] = C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (2019/06/22) (sign: 'Bergarius Limited')
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe    ->    (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05)
O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001Core - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (sign: 'Bergarius Limited')
O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001UA - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /ua /installsource scheduler (sign: 'Bergarius Limited')
O22 - Tasks_Migrated: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_Plugin.exe -check plugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Hourly) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --hourly (file missing)
O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Logon) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --logon (file missing)
O22 - Tasks_Migrated: AvastUpdateTaskMachineCore - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /c (file missing)
O22 - Tasks_Migrated: AvastUpdateTaskMachineUA - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler (file missing)

Перезагрузите компьютер вручную.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Rommel 21-10-2024 21:05 3031879

Вложений: 1
Sandor, начал делать все по порядку. Ну, во-первых у меня нет Avast Update Helper. Ни через удаление программ, ни через Uninstall Tool не показывает мне ничего. Пробовал поиском найти
Далее, второй шаг сделал, комп ребутнулся. Дефендер был отключен. Дальше, пишу скрипт, выдает ошибку:
Код:

Удаление файла: C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z
>>>Для удаления файла C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z необходима перезагрузка
Запуск приложения C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\7za.exe a -mx9 -pmalware quarantine .\Quarantine\*

Ну я перезагрузился, повторил уже с выключенным дефендером (он после перезагрузки включается) - опять ошибка и создает пустой архив 1Кб quarantine.7z
Ну и так как он пустой - ничего не прикладываю.

Далее, начинаю фиксить в ХайДжек - у меня нет строчки
Код:

O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe    ->    (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05)
Внимательно смотрел, даже поиском искал - ничего. Все остальные пофиксил
Сканирование провел, файлы прикрепил

Sandor 22-10-2024 08:10 3031886

Цитата:

Цитата Rommel
у меня нет Avast Update Helper »

Он был скрыт. Сейчас исправим.

Цитата:

Цитата Rommel
создает пустой архив 1Кб »

Значит в карантин ничего не попало.

Цитата:

Цитата Rommel
у меня нет строчки »

Не страшно.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:

    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    S3 block_reader; \??\D:\MPR Portable\block_reader.sys [X]
    Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1579.3 - AVAST Software) Hidden
    Avast Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.8.1065.0 - AVAST Software) Hidden
    aescripts + aeplugins desktop apps (HKLM-x32\...\{9b619644-1c34-43b7-8661-9fb174698bbd}) (Version: 1.9.80.0 - aescripts + aeplugins) Hidden
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [290]
    FirewallRules: [UDP Query User{91977AFE-794E-4107-8192-D8DD3C2EE86F}E:\qip\qip.exe] => (Allow) E:\qip\qip.exe => Нет файла
    FirewallRules: [TCP Query User{3C56EC8E-FF5B-4EA6-BF97-41EEAD56A79F}E:\qip\qip.exe] => (Allow) E:\qip\qip.exe => Нет файла
    FirewallRules: [{A23D1376-7774-4AA7-BCF0-A9FE502A616D}] => (Allow) LPort=8319
    FirewallRules: [{763ECC44-A45B-465E-BC4A-4C569C97B192}] => (Allow) LPort=5222
    FirewallRules: [{0D66A7D7-6A33-42E3-A32D-F1D320002C60}] => (Allow) LPort=1688
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появятся ранее скрытые
Цитата:

Avast Update Helper
aescripts + aeplugins desktop apps
Удалите.

Rommel 22-10-2024 20:53 3031908

Сделано.
Цитата:

Цитата Sandor
Avast Update Helper
aescripts + aeplugins desktop apps »

Это удалил. Но пока что проблема до сих пор осталась, если что

Sandor 23-10-2024 08:27 3031917

Проблема в том, что во всех браузерах есть не удаляемые расширения - верно?

Пробуйте сбросить настройки браузеров. Если не получится, покажите ещё раз скриншотом.

Rommel 23-10-2024 20:12 3031937

Цитата:

Цитата Sandor
Проблема в том, что во всех браузерах есть не удаляемые расширения - верно?
Пробуйте сбросить настройки браузеров. Если не получится, покажите ещё раз скриншотом.
------- »

а я не знаю, как увидеть, есть ли неудаляемое в данном браузере или нет. Все, что я вижу - можно отключить/удалить. Проблема в том, что может я их не вижу - другое дело. Да и поможет ли сброс настроек, если Хром я переустанавливал? А расширения я ставлю только на него, так другие браузеры мне нужны для разовых действий. И да, я когда выполнял ваши манипуляции, видел названия браузеров, которых у меня уже нет. На данный момент у менятолько Хром, Edge, Cent, Yandex и Comodo. Но что самое интересное SaveFromNet'овская кнопка Скачать на ютубе есть в каждом браузере, собственно и эта реклама. Но я точно не стал бы заморачиваться установкой плагина для каждого браузера.
Перед тем как обратиться за помощью, я через виндопоиск нашел экзешник SaveFromNet. Что-то припоминаю, вроде когда-то хром прикрыл лавочку и они выпустили программу. Но это было давно. Так вот, этот экзешник я удалил через shift+del (наверное, зря), так как в установке и удалении программ он не отображался. Ну я через поиск нашел, ткнул на расположение файла - меня и привело туда. Еще удивило, что был только один .ехе, больше никаких файлов. Может это не расширение в браузере, а программа (точнее, ее следы) голову дурят? Но как ее найти, если поиск теперь ничего не дает?

Rommel 23-10-2024 21:18 3031942

Зашел на сайт СФН (сейв фром нет) - и что-то не могу найти установщик программы - только расширения для разных браузеров. Но как-то же я ее установил, ехешник же был. Ну и тыкая на расшерение и Установить - оно не показывает, что он уже установлен. Собственно и этот Orange Monkey тоже можно как бы установить. Вы вообще знакомы с этим расширением? Там на сайте есть инструкция как устанавливать и там надо прописать скрипт. Может скинуть ссылку, вдруг это что-то даст?

Sandor 24-10-2024 07:57 3031954

Цитата:

Цитата Rommel
Да и поможет ли сброс настроек »

Вы сделайте, а потом будет видно. После сброса проверьте визуально
Цитата:

Цитата Rommel
кнопка Скачать на ютубе есть в каждом браузере »

останется ли такая кнопка.
Кстати, при нажатии на эту кнопку что-то происходит?

Rommel 24-10-2024 19:20 3032003

Цитата:

Цитата Sandor
Да и поможет ли сброс настроек »
Вы сделайте, а потом будет видно. После сброса проверьте визуально
Цитата Rommel:
кнопка Скачать на ютубе есть в каждом браузере »
останется ли такая кнопка.
Кстати, при нажатии на эту кнопку что-то происходит? »

Да, осталась. Скинул и в хроме, и в Эдже. Даже сейчас специально Оперу скачал и поставил - тоже самое
на первом скрине 1, 3, 4 - это эти кнопки. При нажатии на них появляется справа такое окно, как на скрине 2.
При нажатии на кнопку Скачать ничего не происходит, при нажатии на красный воскл знак - окно под номером 2 с просьбой установить эти расширения

Sandor 25-10-2024 07:58 3032013

Удалите старые и соберите новые логи FRST.txt и Addition.txt, отметив предварительно галочкой пункт "Файлы за 90 дней"

Rommel 25-10-2024 20:37 3032055

Вложений: 2
вот

Rommel 25-10-2024 23:03 3032063

Вложений: 1
Блин, эта хрень размножается :(

Sandor 28-10-2024 09:25 3032115

Это делали?
Цитата:

Цитата Sandor
отметив предварительно галочкой пункт "Файлы за 90 дней" »


Такой скрипт выполните:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:

    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {CA5E5312-74EF-4F0B-9494-E5CDFCFAF345} - System32\Tasks\Optimize Push Notification Data File-S-1-5-21-2436307246-769056543-2871907544-1001 => {201600D8-6EFF-48CE-B842-E14D37A0682D} C:\WINDOWS\System32\wpninprc.dll [24064 2019-12-07] (Microsoft Windows -> Microsoft Corporation)
    FF user.js: detected! => C:\Users\vbysv\AppData\Roaming\K-Meleon\yrgbjs44.default\user.js [2006-04-06]
    FF Plugin HKU\S-1-5-21-2436307246-769056543-2871907544-1001: @tools.orbitum.com/Orbitum Update;version=3 -> C:\Users\vbysv\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [2019-06-18] (Bergarius Limited -> Bergarius LLC)
    FF Plugin HKU\S-1-5-21-2436307246-769056543-2871907544-1001: @tools.orbitum.com/Orbitum Update;version=9 -> C:\Users\vbysv\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [2019-06-18] (Bergarius Limited -> Bergarius LLC)
    FF Plugin HKU\S-1-5-21-2436307246-769056543-2871907544-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\vbysv\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2016-05-08] (Unity Technologies SF -> Unity Technologies ApS)
    startbatch:
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    endbatch:
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Rommel 28-10-2024 21:34 3032132

Вложений: 1
Цитата:

Цитата Sandor
Это делали? »

в тот раз да, сейчас нет

Sandor 29-10-2024 09:27 3032140

Если проблема сохраняется, начнём с браузера Chrome. Сделайте его очистку по этой инструкции.
Сообщите результат.

Rommel 29-10-2024 19:48 3032164

Цитата:

Цитата Sandor
Если проблема сохраняется, начнём с браузера Chrome. Сделайте его очистку по этой инструкции.
Сообщите результат. »

Это удалит все мои данные, настройки, сохраненные пароли и закладки? Но если я использую на мобильном хром - он потом подтянет все это или нет? Давайте может на другом браузере попробуем, который не жалко?

Хм.. когда я запустил сегодня в Хроме ютуб - выскочила эта желтая плашка на весь экран (но которую можно крестиком закрыть). Эти большие фиолетовые полосы я адгардом вручную поблочил еще на днях. Оставались только надписи, всплывающие при наведении указателя на видео. Так вот, увидев желтый баннер, я подумал, что не помогло. Принялся писать сообщение и полез смотреть другой браузер, на котором будем пробовать. Но нигде больше не было. Вернувшись в хром, я обратил внимание, что и в нем больше следов не осталось. Кроме того баннера, что вылез сразу. Но он появляется непонятно как: иногда раз в 3 дня, иногда чаще. Но остальные элементы исчезли. Я даже выключил адгард и обновил страницу - ничего не появилось. Так что осталось только понаблюдать за этим желтым баннером и решить, как и от него избавиться. Есть мысли куда копать? Или только чистка?

Sandor 30-10-2024 09:03 3032174

Цитата:

Цитата Rommel
Вернувшись в хром, я обратил внимание, что и в нем больше следов не осталось »

Тогда просто последите и через некоторое время сообщите результат.

Rommel 30-10-2024 20:39 3032182

Цитата:

Цитата Sandor
Тогда просто последите и через некоторое время сообщите результат. »

Хорошо, тему только не закрывайте. Но только все равно осталась кнопка (пусть и нерабочая) от SFN "Скачать" под видео. Но все равно, это намного лучше, чем было. Огромное Вам спасибо за помощь!

Rommel 06-11-2024 23:27 3032478

Вложений: 1
Ну вот, каждый день появляется этот желтый баннер. Если не успеть его закрыть, то видимо адгард режет рекламу и появляется просто затемненная область (типа баннер на фоне, а область позади). Но так как закрыть не могу, то приходится дважды обновлять страницу, чтобы оно исчезло

Sandor 07-11-2024 10:51 3032489

Дайте адрес этого сайта.

Rommel 10-11-2024 13:36 3032654

тот, на который баннер ведет? Ок, как появится - пришлю

Rommel 11-11-2024 01:49 3032674

https://sf-helper.net/pro2?utm_sourc...m_campaign=pro

Sandor 11-11-2024 09:01 3032686

Нет, тот, на котором этот баннер появляется. Или он появляется на любом сайте?

Rommel 13-11-2024 13:34 3032822

Ааа, нет. Он появляется только на ютубе и то раз в день-два. Так как это из-за расширения Save From Net, следы от которого остались на странице ютуба, а именно кнопка Скачать, хоть она и неактивная больше.

Sandor 13-11-2024 14:30 3032826

Сделайте ещё так:

1. Отключите синхронизацию в Chrome, (если включена).
2. Сделайте Сброс настроек браузера Chrome.
3. Сохраните нужные закладки и удалите браузер - Как удалить Google Chrome
Убедитесь, что удалена папка
Цитата:

C:\Users\vbysv\AppData\Local\Google\Chrome\
4. Скачайте и установите Хром заново. В аккаунт пока не входите и проверьте.

Rommel 15-11-2024 02:14 3032887

так дело в том, что эта фигня в любом браузере срабатывает, а не только в Хроме. Такое чувство, что прописалась везде.

Sandor 15-11-2024 08:55 3032890

Давайте всё же начнём с Хрома. Если сохранится, будем думать дальше что делать.

Rommel 16-11-2024 02:21 3033007

Благодарю вас, что вы избавили меня от назойливых всплывающих надписей на видео, но вот что-то так подумал и взвесив все это - не готов я сносить Хром и потом с нуля его настраивать и добавлять закладки. К тому же я пользуюсь расширением Speed dial (бесит, когда на стартовой ссылки на страницу меняются от того, насколько часто ты заходишь. Люблю когда по привычке знаешь, где какая ссылка расположена), а оно не совсем корректно синхронизирует, поэтому я взвесил все и решил, что мне проще пару раз нажать F5, чем все потом под себя подгонять. Еще раз спасибо за помощь, от 80% проблем вы меня избавили)


Время: 00:55.

Время: 00:55.
© OSzone.net 2001-