Chrome. Открываются сайты с рекламой. ADWcleaner удалить не может.

**Guron_by** · 08.02.2016, 01:20

Здравствуйте. Каким-то образом подцепилась зараза...
Система Win 10 Pro, антивирус KTS
В Google Chrome при нажатии на ссылку (ссылка, переход на другую страницу, в общем любое действие с кликом мыши на странице), осуществляется переход на "левую" рекламируемую вирусом страницу в рамках вкладки на которой производилось действие левым щелчком мыши. Либо открывается новая вкладка с рекламой.
Это происходит не часто. Наверное в 10% случаях. Иногда может и не открыться реклама, но получается как бы "холостое нажатие" при щелчке по нужной ссылке и на мгновение моргает вкладка.
ADWcleaner гадость находит, но при ее очистке, после перезагрузки системы, до запуска Chrome повторная прогонка ADWcleaner ничего не находит. Но стоит запустить Chrome- ADWcleaner снова показывает эту гадость.
Я так понимаю она шифруется под расширение, прописываясь в файле Secure Preferences. ID расширения: cpngackimfmofbokmjmljamhdncknpmg. Поиск в интернете по ID ничего не дает. В списке расширений этого расширения нет. такое ощущение что гадость прописалась в настройки синхронизации Chrome и постоянно при запуске браузера проверяет свое отсутствие. Если отсутствует- устанавливается. Такая мысль закралась в связи с тем, что я удалял с помощью YourUninstaller браузер, чистил реестр и ставил браузер снова. Если не синхронизировать настройки- то все в порядке, но как только произвести синхронизацию настроек- то зараза тут как тут.
Помогите, пожалуйста.
Прилагаю логи:
virusinfo_syscure.zip
virusinfo_syscheck.zip
Logs_Farbar Recovery Scan Tool.rar
AdwCleaner.rar
hijackthis.log
Архив virusinfo_auto_USER прикрепить ен получилось так как весит 65 мегабайт

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.02.2016, 01:21

Уважаемый(ая) Guron_by, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**regist** · 08.02.2016, 10:23

Сообщение от Guron_by

Архив virusinfo_auto_USER прикрепить ен получилось так как весит 65 мегабайт

закачайте архив на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) ссылку на скачивание пришлите в ЛС.

Ultra Adware Killer

MBAM раз уж поставили, то лог покажите.

И эти расширения вам знакомы?

Код:

OPR Extension: (Neiron Search Tools) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\neclhebkjhajagboegcjjhfmkmpgonmf [2015-10-10]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-10-10]
OPR Extension: (SaveFrom.net помощник) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2016-01-14]

CHR Extension: (YouTube) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-02-07]
CHR Extension: (Adblock Plus) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-02-07]
CHR Extension: (Плавная прокрутка [Atavi]) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckpifcbkpbdakjgcigilkdhhfbmgcfdh [2016-02-07]
CHR Extension: (Google Search) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-07]
CHR Extension: (Onliner Notifier) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\ddpofniaeebmhemmfhohegpdjaoongee [2016-02-07]
CHR Extension: (Onliner - Topics AutoUP & PM Notifier) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnckepdjdllmncgnbfgdpnfgalglomj [2016-02-07]
CHR Extension: (Google Таблицы) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-02-07]
CHR Extension: (Google*Документы офлайн) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-02-07]
CHR Extension: (AdBlock) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-02-07]
CHR Extension: (Eye Dropper) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmdcmlfkchdmnmnmheododdhjedfccka [2016-02-07]
CHR Extension: (eBay для Chrome) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\khhckppjhonfmcpegdjdibmngahahhck [2016-02-07]
CHR Extension: (Chromium Wheel Smooth Scroller) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\khpcanbeojalbkpgpmjpdkjnkfcgfkhb [2016-02-07]
CHR Extension: (DotVPN — better than VPN.) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpiecbcckbofpmkkkdibbllpinceiihk [2016-02-07]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-02-07]
CHR Extension: (Print Friendly & PDF) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohlencieiipommannpdfcmfdpjjmeolj [2016-02-07]

**Guron_by** · 08.02.2016, 10:57

Здравствуйте. Спасибо за быструю реакцию на мою проблему!

Расширения для Opera мне не знакомы, но я их встречал в Chrome- оттуда я их удалил, а вот в Opera их не заметил, так как редко пользуюсь этим браузером. Эти расширения я не устанавливал.
[CODE]OPR Extension: (Neiron Search Tools) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\neclhebkjhajagboegcjjhfmkmpgonmf [2015-10-10]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-10-10]
OPR Extension: (SaveFrom.net помощник) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2016-01-14]

По Chrome:
CHR Extension: (YouTube) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldk acnbeo [2016-02-07]
Расширение для Youtube стояло, но давно. В данный момент, в списке расширений я его не наблюдаю.

Это расширение я так же не вижу в списке и его никогда не устанавливал.
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccm gmieda [2016-02-07]

ссылка на лог virusinfo_auto_GURON-EXTREME.zip
http://www1.zippyshare.com/v/Rr06jWue/file.html

Лог anti-malaware:
anti-malaware.txt

**regist** · 08.02.2016, 11:25

RiskWare.IStealer, C:\ProgramData\KMSAutoS\bin\KMSSS.exe, Помещено в карантин, [a53acb9200992313371a71dc37cb728e],
PUP.Optional.MiniUPnP, C:\Program Files (x86)\KMPConnect\upnpc.exe, Помещено в карантин, [d50a0e4fd3c655e10633b78848bad030],

убили себе активатор.
Рекомендую восстановить из карантина и потом деинсталируйте MBAM.

- - - - -Добавлено - - - - -

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [mafpbclkdiejmpjnmioihcafdnlbmkco] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkooappjeoniffjmoplbagpngedkckpl] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Everysale.Net) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\mafpbclkdiejmpjnmioihcafdnlbmkco [2015-10-10]
OPR Extension: (Neiron Search Tools) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\neclhebkjhajagboegcjjhfmkmpgonmf [2015-10-10]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\GURON\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2015-10-10]
Task: {014043E7-4E61-4B33-BD45-D0847EBDB013} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {2F69F929-CB38-4D8C-B3DF-01ECB66CF09F} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {43310032-736B-4EC9-9DAE-3FDB6EF5EC29} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {4828D31E-FD79-45BC-BEE4-3DA0CADCD191} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {5075B0FF-6711-4DE0-9683-DD186EF32AA3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {5F202C83-1853-4565-A295-F0E5A32B8C57} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {5F55A17F-7EFB-45C3-B354-D5F86D40FC53} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {822E8625-6027-4C87-ADD8-C176D628D92C} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {AFD328F5-DCEB-4F59-A246-1C80F5BD9403} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {F2BF42AF-73E3-417D-9AD5-6AE13681C4BE} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {F38518F2-FB42-493E-BAD1-6E4C7D6B3E2A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION

EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

проверьте проблему.

**Guron_by** · 08.02.2016, 13:56

Вот файлик:
Fixlog.txt
После перезапуска компьютера и запуска Chrome? реакция ADWcleaner осталась прежней. Он опять нашел cpngackimfmofbokmjmljamhdncknpmg
Хотя может это и не имеет отношения к проблеме? Может так оказаться что идет борьба против "ветряных мельниц"... потому как в течении нескольких минут пользования браузером, на проблему я не наткнулся. Хотя не тот промежуток времени что бы вирус себя проявил. Сейчас попробую усиленно посерфить по паутине, привлекая к своим действиям внимание

**regist** · 08.02.2016, 14:43

на всякий случай ещё
- сделайте лог Check Browsers' LNK by Dragokas & regist.

**Guron_by** · 08.02.2016, 16:05

Пожалуйста:
Check_Browsers_LNK.log

Добавил в 19:35 :
Пока полет нормальный !
Скорее всего проблема решена!

СПАСИБО за помощь. Все было сделано быстро, четко и профессионально!

**regist** · 08.02.2016, 19:24

Код:

-[script] "C:\Users\GURON\AppData\Roaming\GlarySoft\Glary Utilities 5\Startup\StartupDir\.exefonts.cmd.lnk"    -> ["C:\fonts.cmd"] -> ( 0 байт )
-[script] "C:\Users\GURON\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup-Disabled\fonts.cmd.lnk"          -> ["C:\fonts.cmd"] -> ( 0 байт )

Эти ярлыки можно удалить, также как и C:\fonts.cmd - он пустой судя по размеру.

А также заодно

Код:

C:\Users\GURON\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\KMPlayer.lnk
C:\Users\GURON\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The KMPlayer\Uninstall KMPlayer.lnk
C:\Users\Public\Desktop\DriverToolkit.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русская рыбалка (Одиночная)\Редактор водоемов.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русская рыбалка (Одиночная)\Руководство по игре.lnk

они ссылаются на файлы которых уже нет.

______________

Код:

C:\Users\GURON\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences

Заархивируйте и прикрепиете к сообщению. Передам разработчику AdwCleaner, чтобы посмотрел почему этот хвост от расширения вычистить не может.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**Guron_by** · 08.02.2016, 22:21

Сейчас все будет сделано.
Делаю все последовательно. Добрался до Secure Preferences:
Secure Preferences.rar

ADWcleaner удалил.
Скрипт в AVZ запустил. Все чисто!
"Часто используемые уязвимости не обнаружены."
"Скрипт выполнен без ошибок."

ОГРОМНОЕ спасибо!

Chrome. Открываются сайты с рекламой. ADWcleaner удалить не может. (заявка № 196837)

Опции темы