Решена Автоматически устанавливаются расширения

Статус
В этой теме нельзя размещать новые ответы.

Вложения

  • Addition.txt
    73.4 KB · Просмотры: 23
  • FRST.txt
    65 KB · Просмотры: 23
Сделаем некоторую очистку. О паролях и данных поговорим позже.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-266258574-3858124851-3864700089-1001\...\MountPoints2: {4cf445ca-de3e-11eb-8bcf-283a4d1f6000} - "E:\Setup.exe" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-266258574-3858124851-3864700089-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    AS: Avast Antivirus (Enabled - Up to date) {35C973AA-9ABB-D3CA-B100-B0DC0E5F2402}
    AlternateDataStreams: C:\Users\denis\Application Data:a8f96ed9f548b3497db5ddd233a8b439 [394]
    AlternateDataStreams: C:\Users\denis\Application Data:eb92b835a834003ac00ee2632de0e925 [394]
    AlternateDataStreams: C:\Users\denis\AppData\Roaming:a8f96ed9f548b3497db5ddd233a8b439 [394]
    AlternateDataStreams: C:\Users\denis\AppData\Roaming:eb92b835a834003ac00ee2632de0e925 [394]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    StartBatch:
      del /s /q C:\Windows\SoftwareDistribution\download\*.*
      del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    EndBatch:
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Вы сначала говорили про расширение
Avast Online Security & Privacy
А в логах фигурирует расширение

Как правило, вместе с установкой антивируса происходит установка разработанных этим антивирусом расширений. Причем, для определенного браузера происходит собственная установка и настройка.
И, как правило, вы можете согласиться с установкой расширения антивируса или отказаться. Расширение обычно служит дополнительной защитой браузера.

На сайте Avast написано, что уже установленное расширение Avast Passwords можно продолжать эксплуатировать, но продажу новых платных версий они прекратили.
Также насколько мне известно, Avast ушли с Российского рынка. Так что имейте это ввиду.
Для верности сохраните все ваши важные пароли и пробуйте использовать другой менеджер паролей.

проблема не повторяется
Подтверждаете?
 
Вы сначала говорили про расширение
Avast Online Security & Privacy
Именно так. Оно и установилось. После чего я его удалил и больше не устанавливалось.
А в логах фигурирует расширение
Да, это расширения я и не удалял, оно у меня отключено.

установленное расширение Avast Passwords можно продолжать эксплуатировать
Его можно использовать только вместе с антивирусом. Продолжать эксплуатировать можно не расширение, а отдельную программу Avast Passwords, ее у меня нет. Для получения доступа, нужно заново установить антивирус, надеюсь не придется всё делать сначала :D

Подтверждаете?
Да, спасибо большое вам!
 
Хорошо.
Проделайте завершающие шаги:

1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
-------------------------- [ SecurityUtilities ] --------------------------
Eraser 6.2.0.2982 v.6.2.2982 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.1.9.3 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.14931.20132
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
Python 3.9.4 (64-bit) v.3.9.4150.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.16.4549 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.3.8 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2147.16 Внимание! Скачать обновления
Viber v.16.9.0.0 Внимание! Скачать обновления
Skype, версия 8.43 v.8.43 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.3 v.4.3.3 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 87.0 (x64 ru) v.87.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^


Выше перечисленное постарайтесь учесть и по возможности исправить.

Читайте Рекомендации после удаления вредоносного ПО
 
@regist, @Sandor, могу я выполнить данный скрипт еще раз? Чтобы удалить самоустанавливающиеся разширения еще раз после переустановки аваст? Оно же не может нанести вреда?
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\TEMP\CHROME_BITS_13488_924454523\HFNKPIMLHHGIEADDGFEMJHOFMFBLMNIB_7232_ALL_ACAKKQ2PTD3WTE4HCA3TIRDJFAKQ.CRX3
delall %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\TEMP\CHROME_BITS_13488_924454523\HFNKPIMLHHGIEADDGFEMJHOFMFBLMNIB_7232_ALL_ACAKKQ2PTD3WTE4HCA3TIRDJFAKQ.CRX3
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHONW.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHON.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\PROGRAMS\NEM-WALLET\NEM WALLET.EXE
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 9\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 8\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 7\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 6\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 13\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 12\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 11\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 10\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GOMEKMIDLODGLBBMALCNEEGIEACBDMKI\21.0.118_0\AVAST ONLINE SECURITY & PRIVACY
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\PROFILE 1\EXTENSIONS\EMHGINJPIJFGGBOFEEDIIOJMDLMLKOIK\2.0.4569_0\AVAST PASSWORDS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE...BBMALCNEEGIEACBDMKI&INSTALLSOURCE=ONDEMAND&UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE...MMFHCMPKCLMIGMMCBEH&INSTALLSOURCE=ONDEMAND&UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE...FBJMEACDJBHLFGPJABP&INSTALLSOURCE=ONDEMAND&UC
apply

regt 28
regt 29
czoo
restart
 
Нет, там данные скорее всего изменятся.
Если повторится, нужно по новой собрать стандартные логи.

Проверьте и сообщите, тема пока не закрывается.
 
@Sandor, проверил, после переустановки Аваста устанавливается сейчас только одно:
Программа запуска приложений для Диска, разработанная Google

Так же написано, что добавлено сторонней программой. Хотелось бы его убрать, так как много работаю с профилями и выскакивающие установки доставляют неудобства.
Я так понимаю нет универсального способа этого избежать?
 
Вы правы. Готово.
 

Вложения

  • FRST.txt
    49.9 KB · Просмотры: 22
  • DESKTOP-3NBERQ6_2022-03-27_17-52-54_v4.12.7z
    857.4 KB · Просмотры: 0
  • CollectionLog-2022.03.27-17.47.zip
    85.8 KB · Просмотры: 22
  • AdwCleaner[S00].txt
    1.4 KB · Просмотры: 21
  • Addition.txt
    61.4 KB · Просмотры: 22
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    C:\Users\denis\AppData\Local\Google\Chrome\User Data\Default\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    C:\Users\denis\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    C:\Users\denis\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    C:\Users\denis\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    CHR HKU\S-1-5-21-266258574-3858124851-3864700089-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
    C:\Users\denis\AppData\Local\BraveSoftware\Brave-Browser\User Data\Profile 29\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    C:\Users\denis\AppData\Local\BraveSoftware\Brave-Browser\User Data\Profile 30\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    C:\Users\denis\AppData\Local\BraveSoftware\Brave-Browser\User Data\Profile 31\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    C:\Users\denis\AppData\Local\BraveSoftware\Brave-Browser\User Data\Profile 32\Extensions\lmjegmlicamnimmfhcmpkclmigmmcbeh
    cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    cmd: del /s /q "%userprofile%\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Cache\*.*"
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки удалите старые и соберите новые логи FRST.txt и Addition.txt.
 
Последнее редактирование:
@Sandor, проблема сохраняяется
 

Вложения

  • Addition.txt
    65.4 KB · Просмотры: 21
  • Fixlog.txt
    155.2 KB · Просмотры: 23
  • FRST.txt
    77.2 KB · Просмотры: 21
Последнее редактирование:
@Sandor, проделал вышесказанное вами еще раз, проблема ушла.
 

Вложения

  • Addition.txt
    62.3 KB · Просмотры: 22
  • Fixlog.txt
    111.4 KB · Просмотры: 22
  • FRST.txt
    80.7 KB · Просмотры: 22
Проверьте (на примере Chrome) какие данные синхронизируются.
В адресной строке Хрома введите
chrome://settings/syncSetup/advanced
Проверить нужно во всех профилях.
 
@Sandor, синхронизации выключены везде. Столько профилей, так как созданием новым я проверял устанавливаются ли расширения
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу