Браузер мозилла сам скачал какой-то файл

Hantik · 13.11.2017, 15:33

Добрый день,
Прошу проверить лог uVS.
скачивал музыку и обратил внимание что браузер одновременно скачивал какой-то не понятный файл размером 80 мб.
Смотрю в истории загрузок, там ничего подобного нет.

Гризлик · 13.11.2017, 17:59

Скопируйте код ниже в буфер обмена.
Запустите UVS под текущим пользователем.
Закройте все браузеры.
В меню: Скрипты----Выполнить из буфера обмена

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB\5.0.141.4_0\KASPERSKY PROTECTION
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\ВИДЕОМАСТЕР\SHELLMENU.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKOVERLAYS-2398.DLL
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.1\X64\MCOUAS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref D:\AUTORUN.EXE
delref %SystemDrive%\USERS\АЛЕКСАНДР\DESKTOP\APP\VIDALIA.EXE
delref {03C04F0A-E2A3-4F7F-BA30-BFA06FFD1358}\[CLSID]
delref {B5D5BB14-C8E2-478D-9C97-574AC10AF9E8}\[CLSID]
delref {E3D96E85-529D-4269-AC6A-97CF9E2221E3}\[CLSID]
deltmp
restart

После перезагрузки выполните Как создать лог сканирования в malwarebytes?

Hantik · 13.11.2017, 19:09

Выполнил сканирование Mbam.

Гризлик · 13.11.2017, 19:39

Вот это оставьте

Код:

HackTool.Agent, C:\Program Files (x86)\ABBYY FineReader 9.0\FineReader.exe, , [43c8c939cedc072f6d0400a3768a926e],

Если панелями от яндекса пользуетесь то оставьте еще это (в противном случае удалите)

Код:

Разделы реестра: 10
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\Yandex.Toolbar.1, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\Yandex.Toolbar, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\Yandex.Toolbar, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\Yandex.Toolbar, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\Yandex.Toolbar.1, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\Yandex.Toolbar.1, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759], 
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [ff0c669c01a9fa3c979841a6728fa759], 

Значения реестра: 4
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER|{91397D20-1446-11D4-8AF4-0040CA1127B6}, ????????, , [ff0c669c01a9fa3c979841a6728fa759]
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\TOOLBAR|{91397D20-1446-11D4-8AF4-0040CA1127B6}, Элементы Яндекса, , [ff0c669c01a9fa3c979841a6728fa759]
PUP.Optional.RussAd, HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\WEBBROWSER\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [60abc43ef7b353e3111e5097a35e41bf], 
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\TOOLBAR\{91397D20-1446-11D4-8AF4-0040CA1127B6}, , [967501010b9f83b3dd52fee9e12018e8], 

Файлы: 6
PUP.Optional.RussAd, C:\Program Files (x86)\Yandex\Elements\bartabhost.dll, , [ff0c669c01a9fa3c979841a6728fa759],

Остальное удалите.

Далее
сделайте проверку в АдвКлинере
Как выполнить проверку в AdwCleaner?

в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

сделайте проверку в FRST
Как создать логи FRST

Hantik · 13.11.2017, 20:08

Все сделал.

Гризлик · 13.11.2017, 23:50

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! И проверьте проблему

Код:

HKU\S-1-5-21-4023144457-2816798862-3290628739-1001\...\Run: [YandexElements] => C:\Users\Александр\AppData\Local\Yandex\Elements\elements.exe [0 2014-11-29] ()
Toolbar: HKU\S-1-5-21-4023144457-2816798862-3290628739-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF user.js: detected! => C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\user.js [2014-11-29]
FF Extension: (20-20 3D Viewer - IKEA) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\Extensions\2020Player_IKEA@2020Technologies.com [2016-01-19]
FF Extension: (Visual Bookmarks) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\Extensions\vb@yandex.ru.xpi [2016-08-26]
FF Extension: ("Yandex Elements") - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\bg1xj5mp.default\Extensions\yasearch@yandex.ru.xpi [2016-08-26]
FF Plugin-x32: @WildTangent.com/GamesAppPresenceDetector,Version=1.0 -> C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll [2013-08-06] ()
CHR Extension: (YouTube) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-18]
CHR Extension: (Google Search) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-14]
CHR Extension: (Click&Clean App) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\pdabfienifkbhoihedcgeogidfmibmhp [2017-10-24]
CHR Extension: (Chrome Media Router) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-10-25]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CustomCLSID: HKU\S-1-5-21-4023144457-2816798862-3290628739-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> no filepath
Task: {47BFE674-5DFA-4395-B88C-47D28D6E5597} - \Microsoft\Windows\Maintenance\WinSAT -> No File <==== ATTENTION
Task: {F61C1098-6385-4992-9119-CE0F68340314} - \Microsoft\Windows\Servicing\StartComponentCleanup -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Hantik · 14.11.2017, 00:24

Вот готовый лог

Гризлик · 14.11.2017, 09:23

Что с проблемой?

Hantik · 14.11.2017, 22:36

Да вроде все норм, спасибо.
А что в логах?

Гризлик · 14.11.2017, 23:36

Цитата:

Сообщение от Hantik

А что в логах?

Сейчас все нормально

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

14.11.2017, 09:23	#8 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Что с проблемой?

14.11.2017, 22:36	#9 (permalink)
Hantik Member Регистрация: 27.01.2010 Сообщений: 141 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Да вроде все норм, спасибо. А что в логах?