Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Предполложительно Browserupdphenix или другое ПО, накручивающее просмотры видео в истории ютуб.

1
RSS
 
Валерий Андронатий
Валерий Андронатий
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.04.2023
Размещено 14.04.2023 19:58:55
Здравствуйте, помогите решить проблему. На компьютере появилось некоторое ПО, которое накручивает просмотры из аккаунта ютуб. На других связанных устройсвах аккаунтом провления данного По нет, проявляется только при подключении ПК к интернету. Были удалены все расширения из браузера, проведены сканирования AwdCleaner, Dr.Web Cuteit, были найдены файлы, связанные с Browserupdphenix, отправленны в карантин и удалены - не помогло. После сканирования с помощью Malwarebytes были снова найдены файлы Browserupdphenix, которые были вручную удалены из дирректории (C:\USERS\USERNAME\APPDATA\LOCAL\BROWSERUPDPHENIX\) с помощью деинсталятора данной программы. Проблема все еще не решена.
Прикрепляю образ автозапуска.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.04.2023 00:24:51
DNS проверьте, которые получаете от роутера:
10.254.254.254,91.247.108.1,192.168.68.1

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\VALERY\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\9.91_0\SAVEFROM.NET ПОМОЩНИК
zoo %SystemDrive%\USERS\VALERY\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE
addsgn 1A9C719A5583368CF42B6CB164435FF14103F1F689FA1F21DA9C9BE7DB332C1DE047A7A80B559D492B0DC0BB4A3D2DDE718CBE25DCF23BC48C3BB467C735E723 8 JS.Siggen5.45720 [DrWeb] 7

chklst
delvir

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
Валерий Андронатий
Валерий Андронатий
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.04.2023
Размещено 15.04.2023 10:42:37
Что имеется в виду под проверкой днс? В настройках рутера 10.254.254.254 - предпочитаемый днс ,91.247.108.1 - альтернативный.
Запустил скрипт - просморы перестали появляться, вроде бы проблема решена.
Логи малвейрбайт прилагаю.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.04.2023 11:12:55
Цитата
Валерий Андронатий написал:
В настройках рутера 10.254.254.254 - предпочитаемый днс
локация сервера Country:        US
https://www.nic.ru/whois/?searchWord=10.254.254.254
[ Как создать образ автозапуска? ]
 
Валерий Андронатий
Валерий Андронатий
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.04.2023
Размещено 15.04.2023 12:05:14
Убрал адресс 10.254.254.254  из списка днс, оставил только 91.247.108.1 - по локации это адресс моего провайдера.
Установлена mesh-система на базе Tp-link Deco e4r, который настраивается в авторежиме из под приложения на смартфоне и не имеет практически никаких ручных настроек. Настройка днс адресов стояла в авто, возможно ли, что приложение установило адресс днс 10.254.254.254, как приоритетный без стороннего вмешательства?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 15.04.2023 12:25:20
Цитата
Валерий Андронатий написал:
возможно ли, что приложение установило адресс днс 10.254.254.254, как приоритетный без стороннего вмешательства?
Могут и вредоносные приложения изменить настройки DNS роутера, если пароль для доступа к настройкам оставлен по умолчанию. типа пары Admin - Admin
[ Как создать образ автозапуска? ]
 
Валерий Андронатий
Валерий Андронатий
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.04.2023
Размещено 15.04.2023 20:32:29
Проблема решена, большое спасибо за помощь!
 
1
Читают тему