Не могу убить Yandex.Sovetnik

RSS

Сообщений: 5

Баллов: 2

Регистрация: 15.10.2020

Размещено 15.10.2020 01:32:43

Добрый день!

Проблема в точности соответствует описанию в посте https://forum.esetnod32.ru/messages/forum6/topic15974/message109464/#message109464.
Учитывая, что папки всегда разные, предполагаю, что пускать этого паразита в дом не стоит.

Перелопатил интернет и выполнил кучу рекомендаций по его удалению. Не помогло.
Удалил все продукты яндекса, даже верой и правдой служивший более 10 лет PuntoSwitcher.
Отключал все расширения Google Chrome, особенно friGate и другие VPN.
Переустанавливал несколько раз Chrome. Сам браузер, конечно, же оригинальный, не от ненавистного яндекса.
После деинсталляции чистил ветки реестра, в которых были упоминания о Chrome, и удалял папки Chrome в Program Files и профиле.
Но как только после чистой установки включаю синхронизацию профиля Google Chrome, то ESET ругается на Sovetnik'а.

Интуитивно понимаю, что можно еще попробовать обнулить профиль синхронизации Google Chrome, а потом еще и пересоздать профиль Windows, но хочется сделать это только тогда, когда уже совсем вариантов не останется.

Сделал все, как по инструкции в вышеупомянутом посте.
Файлы прилагаю.
Прошу вашей помощи.

Прикрепленные файлы

Sovetnik.zip (944.28 КБ)

Ответы

Пред. 1 2

Сообщений: 2

Баллов: 1

Регистрация: 28.04.2023

Размещено 28.04.2023 10:18:05

Хм.. аналогичная ситуация... Никогда не устанавливался никакой советник Яндекса.. уже отключены все addons.. однако проблема сохраняется. Единственный addon который нельзя выключить - это Check Point Harmony Web Protection, но он точно не имеет отношения к Ya/Sovetnik.A. Что делать? Уже готов удалить Google Chrome совсем...

Изменено: Dmitry Khan - 28.04.2023 10:18:30

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 28.04.2023 12:14:17

Цитата
Dmitry Khan написал: Хм.. аналогичная ситуация... Никогда не устанавливался никакой советник Яндекса.. уже отключены все addons.. однако проблема сохраняется. Единственный addon который нельзя выключить - это Check Point Harmony Web Protection, но он точно не имеет отношения к Ya/Sovetnik.A. Что делать? Уже готов удалить Google Chrome совсем...

Цитата

Dmitry Khan написал:
Хм.. аналогичная ситуация... Никогда не устанавливался никакой советник Яндекса.. уже отключены все addons.. однако проблема сохраняется. Единственный addon который нельзя выключить - это Check Point Harmony Web Protection, но он точно не имеет отношения к Ya/Sovetnik.A. Что делать? Уже готов удалить Google Chrome совсем...

Сделайте, пожалуйста, образ автозапуска в uVS
Загрузите файл (через функцию "загрузить файлы") образа к вашему сообщению.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 28.04.2023

Размещено 28.04.2023 14:48:56

Во вложении uVS

Прикрепленные файлы

HomePC_2023-04-28_17-38-54_v4.13.TXT.7z (845.89 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 01.05.2023 00:35:30

Цитата
Dmitry Khan написал: Во вложении uVS Прикрепленные файлы HomePC_2023-04-28_17-38-54_v4.13.TXT.7z (845.89 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.13 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\DMITRIY\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\H34567Q4.DEFAULT-RELEASE\EXTENSIONS\[email protected] delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 27 regt 28 regt 29 deltmp delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\SOFT\IGAMES\WARCRAFT 3 - REIGN OF CHAOS\BLIZZARD.AX delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %Sys32%\PWCREATOR.EXE delref %SystemDrive%\PROGRAM FILES\INTEL\THUNDERBOLT SOFTWARE\TBTSVC.EXE delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\SANDBLAST\SANDBLAST.XPI delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\STANDALONEUPDATER\ONEDRIVESETUP.EXE delref %SystemDrive%\PROGRAM FILES\PROXY LABS\PROXYCAP\PCAPUI.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %Sys32%\BLANK.HTM delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\ANTI-MALWARE\EP_SHELLEXT.DLL delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref H:\_AUTORUN\AUTORUN.EXE delref {424BE3CD-34AB-4F51-9C57-4341166DC8FA}\[CLSID] delref {611B6CB4-ACE6-4655-8D60-15FAC4AD0952}\[CLSID] delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID] delref {8AC780E1-BCDB-4816-A6EA-A88BCC064453}\[CLSID] delref {A0651028-BA7A-4D71-877F-12E0175A5806}\[CLSID] delref %SystemDrive%\SOFT\TOR BROWSER\BROWSER\FIREFOX.EXE delref %SystemDrive%\SOFT\IGAMES\JOAN OF ARC\VSETTING.EXE delref %SystemDrive%\SOFT\IGAMES\JOAN OF ARC\UNWISE.EXE delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\UNINST.EXE delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\ORACLE VM VIRTUALBOX GUEST ADDITIONS.URL delref %SystemDrive%\SOFT\IGAMES\GTA - VICE CITY\GTA-VC.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\DMITRIY\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\H34567Q4.DEFAULT-RELEASE\EXTENSIONS\[email protected]
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
regt 28
regt 29
deltmp
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\SOFT\IGAMES\WARCRAFT 3 - REIGN OF CHAOS\BLIZZARD.AX
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAM FILES\INTEL\THUNDERBOLT SOFTWARE\TBTSVC.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\SANDBLAST\SANDBLAST.XPI
delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\STANDALONEUPDATER\ONEDRIVESETUP.EXE
delref %SystemDrive%\PROGRAM FILES\PROXY LABS\PROXYCAP\PCAPUI.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\ANTI-MALWARE\EP_SHELLEXT.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref H:\_AUTORUN\AUTORUN.EXE
delref {424BE3CD-34AB-4F51-9C57-4341166DC8FA}\[CLSID]
delref {611B6CB4-ACE6-4655-8D60-15FAC4AD0952}\[CLSID]
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref {8AC780E1-BCDB-4816-A6EA-A88BCC064453}\[CLSID]
delref {A0651028-BA7A-4D71-877F-12E0175A5806}\[CLSID]
delref %SystemDrive%\SOFT\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\SOFT\IGAMES\JOAN OF ARC\VSETTING.EXE
delref %SystemDrive%\SOFT\IGAMES\JOAN OF ARC\UNWISE.EXE
delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES\ORACLE\VIRTUALBOX GUEST ADDITIONS\ORACLE VM VIRTUALBOX GUEST ADDITIONS.URL
delref %SystemDrive%\SOFT\IGAMES\GTA - VICE CITY\GTA-VC.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Пред. 1 2