Всем привет. Раньше пользовался расширением SaveFromNet для скачивания видео с ютуба. Спустя время оно работать у меня перестало да и надобность отпала. А потом вроде вообще удалил. Сейчас же мне каждый раз при запуске компа и включении ютуба вылазит такое окно (фото 1). Его закрыл и ок. Но еще на каждом видео появилось в углу Summary, которое при нажатии что-то просит установить. Скрин не могу сделать, вчера заблочил адгардом. Это тоже блочил, но с этим не помогает. При установке SaveFromNet надо было установить Tampermonkey (тоже расширение). Когда гуглил проблему, все писали, что это из-за него. Но я не могу их удалить, так как у меня нет этих расширений уже - давно снес. Но почему-то оно все равно отображается под ютубом (есть кнопка для скачивания, хоть ничего и не работает).
Когда-то еще ставил программу на комп SaveFromNet. Нашел через поиск, ярлык привел в папку к Эджу в расширения. Ну я все расширения Эджа и удалил (просто снес всю папку, так как через ПКМ-Удалить открывался установка и удаление программ, но искомого в этом списке не было. Но проблема осталась. Причем на всех браузерах, так что зря я удалял хром.
Я знаю, что надо логи прикладывать - но ведь это же не вирус, а просто хвост программы. Или все же логи нужны? Ну или может подскажете какую утилиту, которая найдет и удалит эту заразу


Ах да, в гугле видел, что советуют удалить OrangeMonkey. Вроде когда-то ставил, но теперь следов найти не могу. Вот еще скрин

Здравствуйте!

Или все же логи нужны? »
Да, нужны.

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

Прикрепил

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Avast Update Helper


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в AVZ из папки Автологера (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '');
DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '');
DeleteFile('C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe', '64');
DeleteService('cpuz150');
DeleteService('cpuz152');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html):

O4 - HKCU\..\StartupApproved\Run: [Orbitum Update] = C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (2019/06/22) (sign: 'Bergarius Limited')
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe -> (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05)
O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001Core - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (sign: 'Bergarius Limited')
O22 - Tasks: OrbitumUpdateTaskUserS-1-5-21-2436307246-769056543-2871907544-1001UA - C:\Users\vbysv\AppData\Local\Orbitum\Update\GoogleUpdate.exe /ua /installsource scheduler (sign: 'Bergarius Limited')
O22 - Tasks_Migrated: Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_Plugin.exe -check plugin (file missing)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_255_pepper.exe -check pepperplugin (file missing)
O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Hourly) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --hourly (file missing)
O22 - Tasks_Migrated: Avast Secure Browser Heartbeat Task (Logon) - C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe --type=heartbeat --logon (file missing)
O22 - Tasks_Migrated: AvastUpdateTaskMachineCore - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /c (file missing)
O22 - Tasks_Migrated: AvastUpdateTaskMachineUA - C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe /ua /installsource scheduler (file missing)



Перезагрузите компьютер вручную.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.safezone.cc/resources/farbar-recovery-scan-tool.231/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Sandor, начал делать все по порядку. Ну, во-первых у меня нет Avast Update Helper. Ни через удаление программ, ни через Uninstall Tool не показывает мне ничего. Пробовал поиском найти
Далее, второй шаг сделал, комп ребутнулся. Дефендер был отключен. Дальше, пишу скрипт, выдает ошибку:
Удаление файла: C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z
>>>Для удаления файла C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\quarantine.7z необходима перезагрузка
Запуск приложения C:\Users\vbysv\OneDrive\Desktop\AutoLogger\AutoLogger\AV\7za.exe a -mx9 -pmalware quarantine .\Quarantine\*
Ну я перезагрузился, повторил уже с выключенным дефендером (он после перезагрузки включается) - опять ошибка и создает пустой архив 1Кб quarantine.7z
Ну и так как он пустой - ничего не прикладываю.

Далее, начинаю фиксить в ХайДжек - у меня нет строчки
O4 - HKCU\..\StartupApproved\StartupFolder: C:\Users\vbysv\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Bind.exe -> (PE EXE) (2023/04/20) (not signed - no company - D689468061FA582303F69DE347F55D5B7C64ED05)
Внимательно смотрел, даже поиском искал - ничего. Все остальные пофиксил
Сканирование провел, файлы прикрепил

у меня нет Avast Update Helper »
Он был скрыт. Сейчас исправим.

создает пустой архив 1Кб »
Значит в карантин ничего не попало.

у меня нет строчки »
Не страшно.


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
S3 block_reader; \??\D:\MPR Portable\block_reader.sys [X]
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1579.3 - AVAST Software) Hidden
Avast Update Helper (HKLM-x32\...\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}) (Version: 1.8.1065.0 - AVAST Software) Hidden
aescripts + aeplugins desktop apps (HKLM-x32\...\{9b619644-1c34-43b7-8661-9fb174698bbd}) (Version: 1.9.80.0 - aescripts + aeplugins) Hidden
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [290]
FirewallRules: [UDP Query User{91977AFE-794E-4107-8192-D8DD3C2EE86F}E:\qip\qip.exe] => (Allow) E:\qip\qip.exe => Нет файла
FirewallRules: [TCP Query User{3C56EC8E-FF5B-4EA6-BF97-41EEAD56A79F}E:\qip\qip.exe] => (Allow) E:\qip\qip.exe => Нет файла
FirewallRules: [{A23D1376-7774-4AA7-BCF0-A9FE502A616D}] => (Allow) LPort=8319
FirewallRules: [{763ECC44-A45B-465E-BC4A-4C569C97B192}] => (Allow) LPort=5222
FirewallRules: [{0D66A7D7-6A33-42E3-A32D-F1D320002C60}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

В перечне установленных программ появятся ранее скрытые
Avast Update Helper
aescripts + aeplugins desktop apps
Удалите.

Сделано.
Avast Update Helper
aescripts + aeplugins desktop apps »
Это удалил. Но пока что проблема до сих пор осталась, если что

Проблема в том, что во всех браузерах есть не удаляемые расширения - верно?

Пробуйте сбросить настройки (https://www.safezone.cc/threads/kak-sbrosit-parametry-brauzerov-k-znacheniyam-po-umolchaniyu.17232/) браузеров. Если не получится, покажите ещё раз скриншотом.

Проблема в том, что во всех браузерах есть не удаляемые расширения - верно?
Пробуйте сбросить настройки браузеров. Если не получится, покажите ещё раз скриншотом.
------- »
а я не знаю, как увидеть, есть ли неудаляемое в данном браузере или нет. Все, что я вижу - можно отключить/удалить. Проблема в том, что может я их не вижу - другое дело. Да и поможет ли сброс настроек, если Хром я переустанавливал? А расширения я ставлю только на него, так другие браузеры мне нужны для разовых действий. И да, я когда выполнял ваши манипуляции, видел названия браузеров, которых у меня уже нет. На данный момент у менятолько Хром, Edge, Cent, Yandex и Comodo. Но что самое интересное SaveFromNet'овская кнопка Скачать на ютубе есть в каждом браузере, собственно и эта реклама. Но я точно не стал бы заморачиваться установкой плагина для каждого браузера.
Перед тем как обратиться за помощью, я через виндопоиск нашел экзешник SaveFromNet. Что-то припоминаю, вроде когда-то хром прикрыл лавочку и они выпустили программу. Но это было давно. Так вот, этот экзешник я удалил через shift+del (наверное, зря), так как в установке и удалении программ он не отображался. Ну я через поиск нашел, ткнул на расположение файла - меня и привело туда. Еще удивило, что был только один .ехе, больше никаких файлов. Может это не расширение в браузере, а программа (точнее, ее следы) голову дурят? Но как ее найти, если поиск теперь ничего не дает?

Зашел на сайт СФН (сейв фром нет) - и что-то не могу найти установщик программы - только расширения для разных браузеров. Но как-то же я ее установил, ехешник же был. Ну и тыкая на расшерение и Установить - оно не показывает, что он уже установлен. Собственно и этот Orange Monkey тоже можно как бы установить. Вы вообще знакомы с этим расширением? Там на сайте есть инструкция как устанавливать и там надо прописать скрипт. Может скинуть ссылку, вдруг это что-то даст?

Да и поможет ли сброс настроек »
Вы сделайте, а потом будет видно. После сброса проверьте визуально
кнопка Скачать на ютубе есть в каждом браузере »
останется ли такая кнопка.
Кстати, при нажатии на эту кнопку что-то происходит?

Да и поможет ли сброс настроек »
Вы сделайте, а потом будет видно. После сброса проверьте визуально
Цитата Rommel:
кнопка Скачать на ютубе есть в каждом браузере »
останется ли такая кнопка.
Кстати, при нажатии на эту кнопку что-то происходит? »
Да, осталась. Скинул и в хроме, и в Эдже. Даже сейчас специально Оперу скачал и поставил - тоже самое
на первом скрине 1, 3, 4 - это эти кнопки. При нажатии на них появляется справа такое окно, как на скрине 2.
При нажатии на кнопку Скачать ничего не происходит, при нажатии на красный воскл знак - окно под номером 2 с просьбой установить эти расширения

Удалите старые и соберите новые логи FRST.txt и Addition.txt, отметив предварительно галочкой пункт "Файлы за 90 дней"

вот

Блин, эта хрень размножается :(

Это делали?
отметив предварительно галочкой пункт "Файлы за 90 дней" »


Такой скрипт выполните:

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Task: {CA5E5312-74EF-4F0B-9494-E5CDFCFAF345} - System32\Tasks\Optimize Push Notification Data File-S-1-5-21-2436307246-769056543-2871907544-1001 => {201600D8-6EFF-48CE-B842-E14D37A0682D} C:\WINDOWS\System32\wpninprc.dll [24064 2019-12-07] (Microsoft Windows -> Microsoft Corporation)
FF user.js: detected! => C:\Users\vbysv\AppData\Roaming\K-Meleon\yrgbjs44.default\user.js [2006-04-06]
FF Plugin HKU\S-1-5-21-2436307246-769056543-2871907544-1001: @tools.orbitum.com/Orbitum Update;version=3 -> C:\Users\vbysv\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [2019-06-18] (Bergarius Limited -> Bergarius LLC)
FF Plugin HKU\S-1-5-21-2436307246-769056543-2871907544-1001: @tools.orbitum.com/Orbitum Update;version=9 -> C:\Users\vbysv\AppData\Local\Orbitum\Update\1.3.99.0\npGoogleUpdate3.dll [2019-06-18] (Bergarius Limited -> Bergarius LLC)
FF Plugin HKU\S-1-5-21-2436307246-769056543-2871907544-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\vbysv\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2016-05-08] (Unity Technologies SF -> Unity Technologies ApS)
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
endbatch:
EmptyTemp:
Reboot:
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Это делали? »
в тот раз да, сейчас нет

Если проблема сохраняется, начнём с браузера Chrome. Сделайте его очистку по этой инструкции (https://www.safezone.cc/threads/rasshirennyi-sbros-nastroyek-google-chrome.40677/).
Сообщите результат.

Если проблема сохраняется, начнём с браузера Chrome. Сделайте его очистку по этой инструкции.
Сообщите результат. »
Это удалит все мои данные, настройки, сохраненные пароли и закладки? Но если я использую на мобильном хром - он потом подтянет все это или нет? Давайте может на другом браузере попробуем, который не жалко?

Хм.. когда я запустил сегодня в Хроме ютуб - выскочила эта желтая плашка на весь экран (но которую можно крестиком закрыть). Эти большие фиолетовые полосы я адгардом вручную поблочил еще на днях. Оставались только надписи, всплывающие при наведении указателя на видео. Так вот, увидев желтый баннер, я подумал, что не помогло. Принялся писать сообщение и полез смотреть другой браузер, на котором будем пробовать. Но нигде больше не было. Вернувшись в хром, я обратил внимание, что и в нем больше следов не осталось. Кроме того баннера, что вылез сразу. Но он появляется непонятно как: иногда раз в 3 дня, иногда чаще. Но остальные элементы исчезли. Я даже выключил адгард и обновил страницу - ничего не появилось. Так что осталось только понаблюдать за этим желтым баннером и решить, как и от него избавиться. Есть мысли куда копать? Или только чистка?

Вернувшись в хром, я обратил внимание, что и в нем больше следов не осталось »
Тогда просто последите и через некоторое время сообщите результат.