Удаляется Adblock в Google Chrome [not-a-virus:AdWare.Win32.PriceGong.a, HEUR:Trojan.WinLNK.StartPage.gena ]

[PlayGuru]

Здравствуйте!
После скачивания подозрительного файла, вместе с необходимым мне содержимым установилось несколько вирусов и программ от mail.ru
Я их удалил с панели задачи и в установке и удалении.
После этого в браузере стал слетать ADBlock Plus. Вместо иконки серый пазл и сообщение "Веб страница не найдена"
так же открывалась реклама в отдельных вкладках.
После проверки компьютера Dr. Web CureIt реклама перестала всплывать, но ADBlock Plus все равно слетает при каждой перезагрузке компьютера.
Читал много форумов, ни один способ не подошёл.
Спасибо!

[Info_bot]

Уважаемый(ая) PlayGuru, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mrak74]

Здравствуйте !!!

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hppp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=dspp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=dspp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hppp&ts=1427650535&from=face&uid=ST1000DM003-1CH162_Z1D6BRESXXXXZ1D6BRES
O2 - BHO: (no name) - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - (no file)
O4 - HKLM\..\Policies\Explorer\Run: [Adobe Flash Player NPAPI] "C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\NPAPI\FlashUtil32_16_plugin.exe" --getupdate-npapi-plugin
O4 - HKLM\..\Policies\Explorer\Run: [SafeBrowser] "C:\Users\Tracktor\AppData\Local\Microsoft\Extensions\safebrowser.exe" /S

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Users\Tracktor\appdata\local\smartweb\__u.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Roaming\istartsurf\UninstallManager.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Local\SmartWeb\SmartWebHelper.exe','');
  QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Local\Microsoft\Extensions\extsetup.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Roaming\RMJPES.exe','');
  QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk','');
  QuarantineFile('C:\Users\Tracktor\AppData\Roaming\Browsers\exe.erolpxei.bat','');
  QuarantineFile('C:\Users\Tracktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk','');
  QuarantineFile('C:\Users\Tracktor\AppData\Roaming\Browsers\exe.emorhc.bat','');
  QuarantineFile('C:\Users\Tracktor\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Local\Kometa\kometaup.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk','');
  DeleteFile('C:\Users\Tracktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Lаunch Internet Ехрlоrеr Вrоwser.lnk');
  DeleteFile('C:\Users\Tracktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gооgle Chrоme.lnk');
  DeleteFile('C:\Users\Tracktor\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk');
  DeleteFile('C:\Users\Tracktor\AppData\Local\Kometa\kometaup.exe','32');
  DeleteFile('C:\Users\Tracktor\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
  DeleteFile('C:\Users\Tracktor\AppData\Roaming\Browsers\exe.emorhc.bat','32');
  DeleteFile('C:\Users\Tracktor\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
  DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
  DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
  DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
  DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
  DeleteFile('C:\Users\Tracktor\AppData\Roaming\RMJPES.exe','32');
  DeleteFile('C:\Windows\Tasks\RMJPES.job','64');
  DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
  DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
  DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
  DeleteFile('C:\Windows\system32\Tasks\extsetup','64');
  DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\KRB Updater Utility','64');
  DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\KRBUUS\KRB Updater Utility Service','64');
  DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
  DeleteFile('C:\Users\Tracktor\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
  DeleteFile('C:\Users\Tracktor\AppData\Roaming\istartsurf\UninstallManager.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\{A4171430-5C7E-415E-BCDC-9CB10271B2E6}','64');
  DeleteFile('C:\Users\Tracktor\appdata\local\microsoft\extensions\extsetup.exe','32');
  DeleteFile('C:\Users\Tracktor\appdata\local\smartweb\__u.exe','32');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

+

1. Скачайте CheckBrowserLnk и сохраните архив с утилитой на Рабочем столе
2. Распакуйте архив с утилитой в отдельную папку
3. Запустите checkbrowserslnk.exe
   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
4. После окончания работы программы в папке Log будет сохранен отчет CheckBrowserLnk.log
5. Прикрепите этот отчет в вашей теме.

[PlayGuru]

Карантин выслал, вот новые логи

[mrak74]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  QuarantineFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\NPAPI\FlashUtil32_16_plugin.exe','');
  QuarantineFile('C:\Users\Tracktor\AppData\Local\Microsoft\Extensions\extsetup.exe','');
  QuarantineFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.exe','');
  DeleteFile('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6.exe');
  DeleteFile('C:\Windows\system32\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-1-6','64');
  DeleteFile('C:\Windows\system32\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-1-7','64');
  DeleteFile('C:\Windows\system32\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-5','64');
  DeleteFile('C:\Windows\system32\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-6','64');
  DeleteFile('C:\Windows\system32\Tasks\ddfbb344-2123-4a91-b89a-28f72e069b86-7','64');
  DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\extsetup','64');
  DeleteFile('C:\Users\Tracktor\AppData\Local\Microsoft\Extensions\extsetup.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Force_Adobe Flash Player NPAPI','64');
  DeleteFile('C:\Program Files (x86)\Common Files\Adobe\OOBA\PDApp\NPAPI\FlashUtil32_16_plugin.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\temp_ddfbb344-2123-4a91-b89a-28f72e069b86-1-6','64');
  DeleteFile('C:\Windows\system32\Tasks\temp_ddfbb344-2123-4a91-b89a-28f72e069b86-6','64');
  DeleteFileMask('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03','*',true);
  DeleteDirectory('C:\Program Files (x86)\Cinema Plus Pro 3.2cV29.03');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

+

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

[PlayGuru]

Проблема с карантином, пишет данный файл был загружен, по правилам переименовывать не стоит, логи прикрепляю.

[mrak74]

Очистите кэш и cookies-файлы браузеров

Что с проблемой ?

[PlayGuru]

Тоже самое (Ошибка. Данный файл уже был загружен)

[mrak74]

Тоже самое (Ошибка. Данный файл уже был загружен)

Забудьте про карантин. Что с основной проблемой на компьютере ?

[PlayGuru]

Большое спасибо. Всё работает. Adblock не слетает.

[mrak74]

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\users\tracktor\appdata\local\smartweb\__u.exe - not-a-virus:AdWare.Win32.PriceGong.a ( DrWEB: archive:, AVAST4: Win32:Malware-gen )
  2. c:\users\tracktor\appdata\roaming\microsoft\intern et explorer\quick launch\gооgle chrоme.lnk - HEUR:Trojan.WinLNK.StartPage.genc
  3. c:\users\tracktor\appdata\roaming\microsoft\intern et explorer\quick launch\launch internet explorer browser.lnk - HEUR:Trojan.WinLNK.StartPage.gena
  4. c:\users\tracktor\appdata\roaming\microsoft\intern et explorer\quick launch\lаunch internet ехрlоrеr вrоwser.lnk - HEUR:Trojan.WinLNK.StartPage.genc