|
Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] Помогите удалить следы вредоносного расширения для Хром |
|
[решено] Помогите удалить следы вредоносного расширения для Хром
|
Старожил Сообщения: 264 |
Профиль | Отправить PM | Цитировать
Всем привет. Раньше пользовался расширением SaveFromNet для скачивания видео с ютуба. Спустя время оно работать у меня перестало да и надобность отпала. А потом вроде вообще удалил. Сейчас же мне каждый раз при запуске компа и включении ютуба вылазит такое окно (фото 1). Его закрыл и ок. Но еще на каждом видео появилось в углу Summary, которое при нажатии что-то просит установить. Скрин не могу сделать, вчера заблочил адгардом. Это тоже блочил, но с этим не помогает. При установке SaveFromNet надо было установить Tampermonkey (тоже расширение). Когда гуглил проблему, все писали, что это из-за него. Но я не могу их удалить, так как у меня нет этих расширений уже - давно снес. Но почему-то оно все равно отображается под ютубом (есть кнопка для скачивания, хоть ничего и не работает).
Когда-то еще ставил программу на комп SaveFromNet. Нашел через поиск, ярлык привел в папку к Эджу в расширения. Ну я все расширения Эджа и удалил (просто снес всю папку, так как через ПКМ-Удалить открывался установка и удаление программ, но искомого в этом списке не было. Но проблема осталась. Причем на всех браузерах, так что зря я удалял хром. Я знаю, что надо логи прикладывать - но ведь это же не вирус, а просто хвост программы. Или все же логи нужны? Ну или может подскажете какую утилиту, которая найдет и удалит эту заразу Ах да, в гугле видел, что советуют удалить OrangeMonkey. Вроде когда-то ставил, но теперь следов найти не могу. Вот еще скрин |
|
Отправлено: 20:46, 18-10-2024 |
Ветеран Сообщения: 5316
|
Профиль | Отправить PM | Цитировать Здравствуйте!
Цитата Rommel:
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. |
|
------- Отправлено: 18:21, 19-10-2024 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Старожил Сообщения: 264
|
Профиль | Отправить PM | Цитировать Прикрепил
|
Отправлено: 12:48, 20-10-2024 | #3 |
Ветеран Сообщения: 5316
|
Профиль | Отправить PM | Цитировать Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Цитата:
Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', ''); DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', ''); DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '64'); DeleteService('cpuz150'); DeleteService('cpuz152'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. "Пофиксите" в HijackThis: O4 - HKCU\..\StartupApproved\Run: [Orbitum Update] = C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (2019/06/22) (sign: 'Bergarius Limited') O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe -> (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05) O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001Core - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (sign: 'Bergarius Limited') O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001UA - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /ua /installsource scheduler (sign: 'Bergarius Limited') O22 - Tasks_Migrated: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_Plugin.exe -check plugin (file missing) O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -check pepperplugin (file missing) O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Hourly) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --hourly (file missing) O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Logon) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --logon (file missing) O22 - Tasks_Migrated: AvastUpdateTaskMachineCore - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /c (file missing) O22 - Tasks_Migrated: AvastUpdateTaskMachineUA - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler (file missing) Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. |
|
------- Отправлено: 08:06, 21-10-2024 | #4 |
Старожил Сообщения: 264
|
Профиль | Отправить PM | Цитировать Sandor, начал делать все по порядку. Ну, во-первых у меня нет Avast Update Helper. Ни через удаление программ, ни через Uninstall Tool не показывает мне ничего. Пробовал поиском найти
Далее, второй шаг сделал, комп ребутнулся. Дефендер был отключен. Дальше, пишу скрипт, выдает ошибку: Удаление файла: C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z >>>Для удаления файла C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z необходима перезагрузка Запуск приложения C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\7za.exe a -mx9 -pmalware quarantine .\Quarantine\* Ну и так как он пустой - ничего не прикладываю. Далее, начинаю фиксить в ХайДжек - у меня нет строчки O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe -> (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05) Сканирование провел, файлы прикрепил |
|
Последний раз редактировалось Rommel, 25-10-2024 в 20:31. Отправлено: 21:05, 21-10-2024 | #5 |
Ветеран Сообщения: 5316
|
Профиль | Отправить PM | Цитировать Цитата Rommel:
Цитата Rommel:
Цитата Rommel:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве. В перечне установленных программ появятся ранее скрытые Цитата:
|
||||
------- Отправлено: 08:10, 22-10-2024 | #6 |
Старожил Сообщения: 264
|
Профиль | Отправить PM | Цитировать Сделано.
Цитата Sandor:
|
|
Последний раз редактировалось Rommel, 25-10-2024 в 20:31. Отправлено: 20:53, 22-10-2024 | #7 |
Ветеран Сообщения: 5316
|
Профиль | Отправить PM | Цитировать Проблема в том, что во всех браузерах есть не удаляемые расширения - верно?
Пробуйте сбросить настройки браузеров. Если не получится, покажите ещё раз скриншотом. |
------- Отправлено: 08:27, 23-10-2024 | #8 |
Старожил Сообщения: 264
|
Профиль | Отправить PM | Цитировать Цитата Sandor:
Перед тем как обратиться за помощью, я через виндопоиск нашел экзешник SaveFromNet. Что-то припоминаю, вроде когда-то хром прикрыл лавочку и они выпустили программу. Но это было давно. Так вот, этот экзешник я удалил через shift+del (наверное, зря), так как в установке и удалении программ он не отображался. Ну я через поиск нашел, ткнул на расположение файла - меня и привело туда. Еще удивило, что был только один .ехе, больше никаких файлов. Может это не расширение в браузере, а программа (точнее, ее следы) голову дурят? Но как ее найти, если поиск теперь ничего не дает? |
|
Отправлено: 20:12, 23-10-2024 | #9 |
Старожил Сообщения: 264
|
Профиль | Отправить PM | Цитировать Зашел на сайт СФН (сейв фром нет) - и что-то не могу найти установщик программы - только расширения для разных браузеров. Но как-то же я ее установил, ехешник же был. Ну и тыкая на расшерение и Установить - оно не показывает, что он уже установлен. Собственно и этот Orange Monkey тоже можно как бы установить. Вы вообще знакомы с этим расширением? Там на сайте есть инструкция как устанавливать и там надо прописать скрипт. Может скинуть ссылку, вдруг это что-то даст?
|
Отправлено: 21:18, 23-10-2024 | #10 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Интерфейс - Как удалить в интерфейсе следы malware | dmitryvv | Microsoft Windows 10 | 70 | 07-09-2016 10:34 | |
открываются в браузере страницы с рекламой, + устанавливаются расширения в хром | fox2488 | Лечение систем от вредоносных программ | 2 | 31-12-2014 16:58 | |
Установка - [решено] удалить следы предыдущей установки | Obskur | Microsoft Windows 2000/XP | 5 | 15-10-2014 12:07 | |
Прочие - Как удалить файлы определённого расширения? | jorikello | Программное обеспечение Windows | 4 | 23-12-2010 20:53 | |
Разное - Как удалить следы в системе | PLATON | Microsoft Windows 2000/XP | 3 | 19-02-2010 02:58 |
|