Технический форум
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Браузер мозилла сам скачал какой-то файл (http://www.tehnari.ru/f35/t256587/)

Hantik 13.11.2017 15:33
Браузер мозилла сам скачал какой-то файл
 
Вложений: 1
Добрый день,
Прошу проверить лог uVS.
скачивал музыку и обратил внимание что браузер одновременно скачивал какой-то не понятный файл размером 80 мб.
Смотрю в истории загрузок, там ничего подобного нет.

Гризлик 13.11.2017 17:59
Скопируйте код ниже в буфер обмена.
Запустите UVS под текущим пользователем.
Закройте все браузеры.
В меню: Скрипты----Выполнить из буфера обмена
Код:
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB\5.0.141.4_0\KASPERSKY PROTECTION
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ВИДЕОМАСТЕР\SHELLMENU.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKOVERLAYS-2398.DLL
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.1\X64\MCOUAS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref D:\AUTORUN.EXE
delref %SystemDrive%\USERS\АЛЕКСАНДР\DESKTOP\APP\VIDALIA.EXE
delref {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358}\[CLSID]
delref {B5D5BB14-C8E2-478D-9C97-574AC10AF9E8}\[CLSID]
delref {E3D96E85-529D-4269-AC6A-97CF9E2221E3}\[CLSID]
deltmp
restart
После перезагрузки выполните http://www.tehnari.ru/f150/t81927/

Hantik 13.11.2017 19:09
Вложений: 1
Выполнил сканирование Mbam.

Гризлик 13.11.2017 19:39
Вот это оставьте
Код:
HackTool.Agent, C:\Program Files (x86)\ABBYY FineReader 9.0\FineReader.exe, , [43c8c939cedc072f6d0400a3768a926e],
Если панелями от яндекса пользуетесь то оставьте еще это (в противном случае удалите)
Код:
Разделы реестра: 10
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\Yandex.Toolbar.1, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\Yandex.Toolbar, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\Yandex.Toolbar, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\Yandex.Toolbar, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\Yandex.Toolbar.1, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\Yandex.Toolbar.1, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759],
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759],

Значения реестра: 4
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER|{91397D20-1446-11D4-8AF4-0040CA1127B6}, ????????, , [ff0c669c01a9fa3c979841a6728fa759]
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{91397D20-1446-11D4-8AF4-0040CA1127B6}, Элементы Яндекса, , [ff0c669c01a9fa3c979841a6728fa759]
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [60abc43ef7b353e3111e5097a35e41bf],
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [967501010b9f83b3dd52fee9e12018e8],

Файлы: 6
PUP.Optional.RussAd, C:\Program Files (x86)\Yandex\Elements\bartabhost.dll, , [ff0c669c01a9fa3c979841a6728fa759],
Остальное удалите.

Далее
сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

Hantik 13.11.2017 20:08
Вложений: 4
Все сделал.

Гризлик 13.11.2017 23:50
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! И проверьте проблему
Код:
HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\...\Run: [YandexElements] => C:\Users\Александр\AppData\Local\Yandex\Elements\elements.exe [0 2014-11-29] ()
Toolbar: HKU\S-1-5-21-4023144457-2816798862-3290628739-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\user.js [2014-11-29]
FF Extension: (20-20 3D Viewer - IKEA) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\Extensions\2020Player_IKEA@2020Technologies.com [2016-01-19]
FF Extension: (Visual Bookmarks) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\Extensions\vb@yandex.ru.xpi [2016-08-26]
FF Extension: ("Yandex Elements") - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\Extensions\yasearch@yandex.ru.xpi [2016-08-26]
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll [2013-08-06] ()
CHR Extension: (YouTube) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-18]
CHR Extension: (Google Search) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-14]
CHR Extension: (Click&Clean App) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\pdabfienifkbhoihedcgeogidfmibmhp [2017-10-24]
CHR Extension: (Chrome Media Router) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-10-25]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CustomCLSID: HKU\S-1-5-21-4023144457-2816798862-3290628739-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
Task: {47BFE674-5DFA-4395-B88C-47D28D6E5597} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
Task: {F61C1098-6385-4992-9119-CE0F68340314} - \Microsoft\Windows\Servicing\StartComponentCleanup -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Hantik 14.11.2017 00:24
Вложений: 1
Вот готовый лог

Гризлик 14.11.2017 09:23
Что с проблемой?

Hantik 14.11.2017 22:36
Да вроде все норм, спасибо.
А что в логах?

Гризлик 14.11.2017 23:36
Цитата:
Сообщение от Hantik (Сообщение 2532634)
А что в логах?
Сейчас все нормально


Часовой пояс GMT +4, время: 14:20.
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.