ESET CONNECT
Единая точка входа для ресурсов ESET
Войти через социальные сети
Перелопатил интернет и выполнил кучу рекомендаций по его удалению. Не помогло.
Удалил все продукты яндекса, даже верой и правдой служивший более 10 лет PuntoSwitcher.
Отключал все расширения Google Chrome, особенно friGate и другие VPN.
Переустанавливал несколько раз Chrome. Сам браузер, конечно, же оригинальный, не от ненавистного яндекса.
После деинсталляции чистил ветки реестра, в которых были упоминания о Chrome, и удалял папки Chrome в Program Files и профиле.
Но как только после чистой установки включаю синхронизацию профиля Google Chrome, то ESET ругается на Sovetnik’а.
Интуитивно понимаю, что можно еще попробовать обнулить профиль синхронизации Google Chrome, а потом еще и пересоздать профиль Windows, но хочется сделать это только тогда, когда уже совсем вариантов не останется.
Сделал все, как по инструкции в вышеупомянутом посте.
Файлы прилагаю.
Прошу вашей помощи.
| Цитата |
|---|
| RP55 RP55 написал: Система может получать Yandex.Sovetnik при обновлении одной из установленных программ. Программа обновляется. и вы получаете советник. С сети должна быть информация в состав каких программ он входит. Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html |
Спасибо, но у меня никогда не было явно работающего оригинального советника. и, в принципе, уже удалены все расширения из Chrome
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
.
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
| Код |
|---|
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система.
и
Пишем по _общему результату лечения.
После перезапуска Sovetnik обнаружился в папке расширений Chrome средством удаления вредоносных программ Windows (ранее скрипты были только во временных папках, и обращался к ним только сам Chrome.exe).
Содержимое папки C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Default\Extensions
15.10.20 13:59 mbacbcfdfaapbcnlnbmciiaakomhkbkb
15.10.20 13:59 mdnmhbnbebabimcjggckeoibchhckemm
15.10.20 23:37 nmmhkkegccagdldgiimedpiccmgmieda
14.10.20 23:42 pkedcjkdefgpdelpbcmbmeomcjbeemfm
Файлы чистить не пытался, выбирал 4 раза команду «Игнорировать».
P.S. После перезагрузки центр обновления Windows заругался, что хочет обновить ОС до версии 1903.
Так понимаю, что скрипт FRST включил-таки их автопроверку.
Автообновление Windows у меня было выключено еще с прошлого года, когда после месяца мучений я так и не смог перейти на этот кривой релиз. Обновление после перезагрузки виснет и ничего не происходит. Даже как-то на сутки оставлял. Испробовал все возможные варианты из интернета, включая самого помощника по исправлению ошибок обновления. Пришлось везде, где можно, все заблокировать, включая политики и запрет всем пользователям на запуск каких-либо файлов из папки C:\Windows10Upgrade.
Обновление пока не запускаю.
Именно их я удалил самыми первыми, еще 2 месяца назад, когда начал борьбу с советником.
Потенциально нежелательные приложения
Потенциально нежелательные приложения представляют собой довольно широкую категорию программного обеспечения, задачей которого не является однозначно вредоносная деятельность в отличие от других типов вредоносных программ, например вирусов или троянских программ. Однако такие приложения могут устанавливать дополнительное нежелательное программное обеспечение, изменять поведение цифрового устройства, а также выполнять действия без запроса или разрешения пользователя.
К потенциально нежелательным приложениям могут относиться следующие категории приложений: программы для показа рекламы, оболочки загрузок, различные панели инструментов для браузеров, программы с вводящим в заблуждение поведением, пакетное программное обеспечение, программы слежки, программы для майнинга криптовалют, программы для очистки реестра (только для ОС Windows) или любые другие пограничные программы, а также программное обеспечение, которое использует противозаконные или по крайней мере неэтические действия (не запрещенные законом) и которое конечный пользователь может расценить как нежелательное, когда он узнает о последствиях возможной установки.
Потенциально опасные приложения — это приложения, которые сами по себе являются законным программным обеспечением (зачастую коммерческие программы), но используются злоумышленниками ненадлежащим образом. Пользователи программного обеспечения ESET могут включать и отключать обнаружение приложений этих типов.
В некоторых ситуациях может показаться, что преимущества такого потенциально нежелательного приложения перевешивают риски. Поэтому компания ESET помещает эти приложения в категорию незначительного риска, в отличие от других вредоносных программ, например троянских программ или червей.
Сведения о том, как сканировать и удалять потенциально нежелательные приложения в продуктах ESET для Windows для домашнего использования, см. в статье базы знаний ESET.
Предупреждение! Обнаружено потенциально нежелательное приложение
Когда обнаруживается потенциально нежелательное приложение, можно решить, какое действие следует выполнить.
1. Очистить/отключить : действие прекращается, и потенциально нежелательное приложение не попадает в систему.
Параметр Отключить отображается для уведомлений о потенциально нежелательных приложениях во время загрузки с веб-сайта, а параметр Очистить отображается для уведомлений о файлах на диске.
2. Пропустить : эта функция позволяет потенциально нежелательному приложению проникнуть на компьютер.
Потенциально нежелательные приложения — параметры
При установке программы ESET можно включить обнаружение потенциально нежелательных приложений (см. изображение ниже).
Щелкните, чтобы открыть снимок экрана.
Потенциально нежелательные приложения могут устанавливать рекламные программы и панели инструментов или содержать рекламу и другие нежелательные и небезопасные программные компоненты.
Эти параметры можно в любое время изменить в разделе параметров программы. Чтобы включить или отключить обнаружение потенциально нежелательных, небезопасных или подозрительных приложений, следуйте нижеприведенным инструкциям.
Щелкните, чтобы открыть снимок экрана.
Более подробные инструкции о том, как настроить продукты для обнаружения или игнорирования потенциально нежелательных приложений, приведены в следующих статьях базы знаний ESET:
Потенциально нежелательные приложения — оболочки
Оболочка — специальное приложение, используемое на некоторых файлообменных ресурсах. Это стороннее средство, устанавливающее программу, которую вы намеревались загрузить, в комплекте с другим программным обеспечением, например панелью инструментов или рекламной программой, которые могут изменять домашнюю страницу вашего веб-браузера или параметры поиска. При этом файлообменные ресурсы часто не уведомляют поставщиков программного обеспечения или получателей загруженных файлов о внесенных изменениях и скрывают настройки, позволяющие от них отказаться. Именно поэтому компания ESET считает оболочки потенциально нежелательными приложениями и дает пользователям возможность отказаться от их загрузки.
Потенциально нежелательные приложения — программы для очистки реестра
Программы для очистки реестра — это программы, которые могут предполагать, что база данных реестра Windows требует регулярного обслуживания или очистки. Использование этих программ может привести к некоторым рискам для вашей компьютерной системы. Кроме того, некоторые программы для очистки реестра делают неквалифицированные, не поддающиеся проверке или иным образом неприемлемые утверждения о своих преимуществах или генерируют вводящие в заблуждение отчеты о компьютерной системе на основе результатов «бесплатного сканирования». Эти вводящие в заблуждение утверждения и отчеты направлены на то, чтобы убедить вас приобрести полную версию или подписку, обычно не позволяя вам оценить программу перед оплатой. По этим причинам ESET классифицирует такие программы, как потенциально нежелательные приложения, и предоставляет вам возможность разрешать им вход или блокировать их.
Потенциально нежелательное содержимое
Щелкните, чтобы открыть снимок экрана.
Дополнительные сведения по этой теме можно найти в этой статье базы знаний ESET.
Яндекс помогает распространять вредоносное ПО?
По роду деятельности мне приходится наблюдать за работой сотен рядовых пользователей ПК. Человек, который не первый день держит мышку, всё чаще сталкивается с проблемами при банальном скачивании бесплатного ПО. При разборе выясняется, что он всего лишь набрал в Яндексе «скачать Вайбер», а дальше что-то пошло не так. Я давно слежу за распространением заразы при непосредственном участии Яндекса. Когда-то это были единичные случаи, но теперь явление уже приобрело массовый характер. Объясню, в чём суть. Введём в запросе название любой популярной программы, которую условный домашний пользователь хочет скачать, и получим примерно такую выдачу:
Каждая строка с пометкой «реклама» — это платное объявление от физического или юридического лица, которое зарегистрировано в сервисе Яндекс.Директ со всеми адресами, телефонами и прочими ИНН. Каждое такое объявление проходит ручную модерацию, то есть, в данном случае модератора вовсе не смутил тот факт, что пять разных «официальных» сайтов подали рекламу для скачивания бесплатного приложения. И уж точно проверенный модератором номер (495) 111-22-33 не принадлежит Скайпу.
И, что самое интересное, порядок выдачи разных объявлений по одному запросу определяется аукционом. Если не вдаваться в подробности админки Директа — кто выставил бОльшую стоимость клика, того показывают выше. Да, каждое нажатие на такую ссылку обходится автору объявления в N рублей! За что именно борются рублём рекламодатели — неизвестно, вариантов много: от относительно безобидного майнинга криптовалюты на чужом железе до перехвата платёжных данных из Сбербанк.Онлайн или Алиэкспресса. Но логично, что альтруизмом здесь и не пахнет.
upd2 На двух предыдущих скринах результаты поиска прокручены, чтобы нижний рекламный блок оказался рядом с запросом.
На Директе мошенничество не заканчивается. Ниже обычная поисковая выдача без рекламы по запросу «anydesk» — популярного приложения от бывшей команды TeamViewer. anydesk.com — это настоящий сайт, который и должен вылезать первым по данному запросу. А уже второй результат (с точка ru) — фэйк. Достаточно одного взгляда на этот одностраничный сайт с морально устаревшим клипартом, чтобы понять, что перед нами подделка, нарисованная на коленке за 15 минут. НО только не для модераторов Яндекса. Обратите внимание: адрес этого сайта содержит заглавные и строчные буквы (AnyDesk, а не anydesk). Такое возможно только в одном случае: автор сайта зарегистрирован в сервисе Яндекс.Вебмастер и прошёл ручную модерацию на изменение регистра символов в адресе этого «официального сайта».
Помойка в выдаче повторяется для любого ПО, которое только приходит в голову, хоть платного, хоть бесплатного. Приписка «официальный сайт» положение не спасает, а популярная среди начинающих пользователей фраза «скачать бесплатно» наоборот только помогает попасть на поддельный сайт. Чудесные алгоритмы ранжирования Яндекса, которые совершенствуются каждый день, помогают подозрительным сайтам лезть выше. А как показывает практика, неопытный пользователь обычно жмёт первый результат поиска, доверяя лучшему отечественному поисковику.
И ещё немного про Директ. Сервис позволяет таргетировать рекламу по разным признакам. Например, показывать её только жителям Кировской области мужского пола в возрасте от 25 до 45 лет. Это удобно для честной рекламы, скажем, магазина электроинструмента. Или можно показывать её только пользователям браузера Internet Explorer. Последние обычно ассоциируются с неопытными пользователями ПК, поэтому за такого «чайника» можно заплатить и побольше: рекламная ссылка в примере ниже вылезает даже выше искомого официального сайта. Этот запрос сделан в Internet Explorer, в альтернативном браузере рекламный блок здесь не появляется.
upd3 Проверим теорию с таргетингом: заходим под *nix, и всю платную рекламу по тем же запросам как рукой сняло — такие пользователи точно зря потратят стоимость клика.
Что делать с этой информацией? Ограничивать права учётных записей на компьютерах родственников, и объяснять, что верить никому нельзя.
И вопрос к Яндексу, если этот текст до него дойдёт: вы собираетесь как-то решать эту проблему?
Массовость проблемы подтверждает статистика запросов wordstat.yandex.ru: по каждому из ключевых слов тысячи и десятки тысяч ежемесячных запросов.
upd Изначально похвалил Гугл, но в комментариях меня поправили. Google занимается тем же самым (установленная баннерорезка скрыла эти результаты).
upd4 В комментариях появился ответ от представителя Яндекса:
На Хабре меня достаточно давно знают как автора публикаций про технологии Яндекса, поэтому я вызвался добровольцем ответить на этот пост. Кроме того, мне уже приходилось рассказывать про то, как вообще работает дистрибуция софта в индустрии.
Во-первых, Яндекс сотрудничает только с теми компаниями, которые производят или распространяют ПО на легальных основаниях. Это касается и рекламы в выдаче. Вы можете возразить: но ведь на скриншотах неофициальные сайты. Суть в следующем.
Неофициальность сайта с программой в абсолютном большинстве случаев не означает, что он вредоносный. Разработчики ПО как правило заинтересованы в том, чтобы их продукты также распространялись через сайты партнёров. Для них это увеличение загрузок, а для партнёров — проценты от доходов разработчиков.
Во-вторых, как верно подметил автор, Яндекс проверяет такие объявления. Не только вручную, но и с применением наших технологий в области антифрода. Собственно, в комментариях уже подметили, что ни по одному из примеров нет однозначного вердикта о вредоносности со стороны каких-либо сканеров и баз данных. Эти примеры мы тоже перепроверили на всякий случай. Никаких признаков вредоносной деятельности там нет.
В общем, всё не так страшно. Но если вы видите что-то подозрительное, то можете сообщить об этом поддержке Яндекса или лично мне — проверим.
Защита компьютера от потенциально нежелательных приложений
Потенциально нежелательные приложения (PUA) — это категория программного обеспечения, которое может снижать производительность компьютера, неожиданно отображать рекламные объявления или, в худшем случае, устанавливать другое программное обеспечение, которое может быть более опасным или назойливым.
Система безопасности Windows использует защиту на основе репутации, что помогает предохранить компьютер от потенциально нежелательных приложений. Потенциально нежелательная блокировка приложений впервые впервые была Windows 10 обновлении за май 2020 г. и по умолчанию включена для корпоративных клиентов, но по умолчанию отключена для пользователей.
Примечание: Начиная с сентября 2021 г. мы будем блокировать программное обеспечение для криптоминалирования только для корпоративных клиентов.
Как его настроить?
Чтобы настроить потенциально нежелательную блокировку приложений, перейдите в начните > Параметры > Обновление & Security > Безопасность Windows > App & в браузере > параметры защиты на основе репутации.
Вы найдете в этом окте управления, который позволяет отключить потенциально нежелательную блокировку приложений, и укастерете, нужно ли блокировать приложения, загрузки или и то, и другое.
Мы рекомендуем не использовать эту функцию и включить как блокировку приложений, так и загрузку.
Функция Блокировка приложенийобнаружит PUA, которые вы уже скачали или установили, поэтому, если вы используете другой браузер, система безопасности Windows все равно сможет обнаружить PUA после их скачивания.
Функция Блокировка скачивания ищет PUA в процессе скачивания, но она работает только в новом браузере Microsoft Edge.
Что произойдет при обнаружении PUA?
Когда система безопасности Windows обнаружит потенциально нежелательное приложение, вы получите уведомление о том, что нужно принять меры.
Щелкните уведомление, чтобы перейти в область системы безопасности Windows Защита от вирусов и угроз, а затем нажмите название PUA, чтобы выбрать нужное действие.
Примечание: У вас могут отсутствовать некоторые параметры из примера ниже.
Важно! Пока вы не выберете нужное действие, а система безопасности Windows не выполнит его, обнаруженное PUA будет только заблокировано в вашей системе, но не удалено. Это же PUA может быть обнаружено при последующих сканированиях системы, пока вы не примете меры.
Когда вы сделаете выбор, нажмите Запустить действия.
Защита браузера и настроек интернета от действий нежелательных программ
При скачивании торрент-клиентов, дополнений и другие программ с сомнительных сайтов, распространяющих нелицензионный контент, на компьютер могут незаметно устанавливаться нежелательные программы. Они не являются вирусами, но способны снизить скорость работы браузера, без согласия пользователя установить дополнительные панели инструментов, перенаправлять на мошеннические, фишинговые или рекламные страницы.
Какие угрозы несут нежелательные программы
Нежелательная программа добавляет в системный реестр адрес рекламного сайта, имитирующего популярный интернет-сервис. Адрес добавляется в ключ, где регистрируется легальное ПО для автозапуска.
В результате в браузере,\nкоторый используется по умолчанию, после каждой перезагрузки компьютера будет открываться рекламный сайт.
Нежелательная программа — драйвер-фильтр — использует перехват интернет-трафика для показа навязчивой и шокирующей рекламы в браузере, открытия рекламных вкладок, перенаправления пользователя на нежелательные сайты, кражи его личных данных.
Нежелательная программа изменяет настройки системных DNS.
Нежелательное ПО изменяет IP-адрес стандартного DNS-сервера. В результате все запросы будут отправляться на другой сервер, который будет перенаправлять пользователя на мошеннические, фишинговые или рекламные страницы.
Вредоносные программы могут прописывать в файл hosts ложные адреса, блокируя доступ к популярным сайтам, перенаправляя пользователя на фишинговые страницы или отключая защитные функции браузеров.
Чтобы исправить результат работы вируса в Windows:
Программа незаметно от пользователя устанавливает в браузер вредоносные расширения, которые открывают в браузере рекламные вкладки, показывают навязчивую и шокирующую рекламу или крадут личные данные пользователя.
Вредоносные расширения плохо распознаются антивирусами. Это происходит потому, что все расширения работают внутри браузера и не влияют на операционную систему компьютера.
Рекомендуется устанавливать расширения из интернет-магазинов Opera Add-ons или Chrome Web Store, где они проходят проверку на вредоносность.
Чтобы проверить расширения, установленные в браузерах:
Нежелательная программа запускается при каждом включении зараженного компьютера и отслеживает приложения. Когда пользователь открывает один из браузеров, вредоносное ПО внедряет свой код в процесс браузера, чтобы перенаправлять пользователя на рекламные или фишинговые страницы, менять настройки поиска по умолчанию и красть личные данные.
Нежелательная программа изменяет ярлык запуска браузера, добавляя дополнительные параметры (чаще всего, адрес сайта) или запуская вместо браузера другое приложение. В результате браузер при каждом запуске будет открывать страницы с рекламой.
Чтобы проверить свойства ярлыка:
Убедитесь, что строка «Объект» содержит только путь к файлу браузера.
C:\\Program Files\\Google\\Chrome\\Application\\chrome.exe\\ load-and-launch-app=C:\\Users\\user\\AppData\\Local\\Google\\Chrome\\UserData\\Default\\def_apps\\ipcleopmlacobpjligchhkpongdjlfjh\\35.0_0
Как удалить нежелательные программы
Проверьте систему антивирусной утилитой, например CureIt! от Dr.Web, Virus Removal Tool «Лаборатории Касперского» или Yandex Rescue Tool.
Чтобы воспользоваться Yandex Rescue Tool:
Запуская утилиту, вы соглашаетесь с условиями ее использования.
Если нежелательные программы не были найдены или не все программы удалились, проведите очистку еще раз.
Если после повторной очистки не удалось обнаружить или удалить нежелательные программы, но вы уверены, что компьютер под угрозой, посмотрите, что еще можно сделать с помощью бесплатных антивирусов, или обратитесь в службу поддержки.