Открытие вкладок рекламных сайтов в Google Chrome [Trojan-Downloader.Win32.Stantinko.bct ]

[Vadim4495]

Здравствуйте.
Такая проблема в браузере Google Chrome: при нажатие на пустом месте (на странице) самопроизвольно открываются новые вкладки с рекламами, фейсбук, +18. Самая первая ссылка, которая открывается - [COLOR=var(--secondary-text-color)]tot.employeesdirectorships.com[/COLOR]
Помогите, пожалуйста избавиться от данной проблемы.
Заранее благодарен.
Ссылка на результаты анализа VirusDetector - http://virusinfo.info/virusdetector/...CD6213CE6CFF1D

[Info_bot]

Уважаемый(ая) Vadim4495, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\kinoroom browser', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('C:\Windows\System32\ihctrl32.dll', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
 QuarantineFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '');
 QuarantineFile('C:\Users\вадим\AppData\Local\Temp\toolbar3878465.exe', '');
 QuarantineFile('C:\Users\вадим\AppData\Local\Temp\toolbar3879510.exe', '');
 DeleteFile('C:\Windows\Tasks\AsA7rXun2Nz1j05z9a.job', '32');
 DeleteFile('C:\Windows\Tasks\GBmP3SvKLV8d9bWRpF3I2.job', '32');
 DeleteFile('C:\Windows\System32\ihctrl32.dll', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe', '32');
 DeleteFile('C:\Users\вадим\AppData\Local\Temp\toolbar3878465.exe', '32');
 DeleteFile('C:\Users\вадим\AppData\Local\Temp\toolbar3879510.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRBLNKRUN" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{197D4475-E364-48D1-ACC8-06696C105BA1}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{A91B7004-C1B0-4C47-B75D-7FFF148069AB}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F093CCC4-706B-4D83-837F-472613DB3724}" /F', 0, 15000, true);
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\program files (x86)\kinoroom browser', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 DeleteDirectory('c:\program files (x86)\kinoroom browser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters', 'ServiceDll');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O3-32 - Toolbar: (no name) - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - (no file)
O3-32 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files (x86)\Microsoft\BingBar\7.1.391.0\BingExt.dll" (file missing)
O4 - MSConfig\startupreg:[Kinoroom Browser]  (2016/08/09) (no file)
O22 - ScheduledTask: (Ready) {1AC66C78-5ECE-4D8B-8D85-6892033F6FA9} - {root} - C:\Users\вадим\Desktop\punto_setup.exe (file missing)
O22 - ScheduledTask: (Ready) {1D5328B0-9712-43DA-B56C-5C77E5C05C65} - {root} - C:\Users\вадим\Desktop\punto_setup.exe (file missing)
O22 - ScheduledTask: (Ready) {22CA9898-F148-43E1-8FE3-7D1D615BC3CF} - {root} - D:\setup.exe (file missing)
O22 - ScheduledTask: (Ready) {752C9C11-8C3B-419E-93F3-7D23B8735977} - {root} - C:\Users\вадим\Desktop\punto_setup.exe (file missing)
O22 - ScheduledTask: (Ready) {7877ADA4-DE71-48A2-B41E-6F16F53C0200} - {root} - F:\setup.exe (file missing)
O22 - ScheduledTask: (Ready) {92E34DE6-F43B-4D64-B3B7-7A94059F794A} - {root} - F:\prereqs\dotNetFx\dotnetfx3_x64.exe (file missing)
O22 - ScheduledTask: (Ready) {98071E81-FA71-41C1-99D2-4940FAA5E064} - {root} - C:\Users\вадим\Downloads\install_mailru_icq7.exe (file missing)
O22 - ScheduledTask: (Ready) {A63B0D1E-45D2-4DCD-AEE8-57BE2867002B} - {root} - F:\prereqs\dotNetFx\dotnetfx3_x64.exe (file missing)
O22 - ScheduledTask: (Ready) {B78E5380-BB0A-467E-B828-6F7903B3BAF9} - {root} - F:\setup.exe (file missing)

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Vadim4495]

1)Прислать запрошенный карантин не получается, (Ошибка загрузки. Данный файл уже был загружен), до этой инструкции загружал файл, через эту ссылку.
2)Не понял куда вставлять второй код, который написан после "Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis"

[regist]

2) Слово "Профиксите" кликабельно и там подробная инструкция.

[Vadim4495]

Спасибо большое, всё понял.
1) Так что на счёт: "Прислать запрошенный карантин не получается, (Ошибка загрузки. Данный файл уже был загружен), до этой инструкции загружал файл, через эту ссылку.".
2) Ничего страшного, если после сканирования, удалось профиксить только первые строчки из кода, остальные не нашел..?

[regist]

удалось профиксить только первые строчки из кода, остальные не нашел..?

использовать надо актуальную версию Хиджака, а не древность. Актуальная лежит в отдельной папке ..\AutoLogger\HiJackThis

переделывайте

[Vadim4495]

Всё понял, переделал.

[regist]

Код:

Html5 geolocation provider [20120315]-->MsiExec.exe /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}

Советую деинсталировать.

Код:

ICQ7M [20120827]-->"C:\Program Files (x86)\InstallShield Installation Information\{781B39EC-2E18-41FC-9B00-B84E4FFCA85F}\ICQ7.exe" -runfromtemp -l0x0009 -removeonly

сами ставили? Используете?

- - - - -Добавлено - - - - -

Код:

C:\Users\вадим\Favorites\Links\Яндекс.url
C:\Users\вадим\Favorites\Mail.Ru Агент - используй для общения!.url
C:\Users\вадим\Favorites\Links\Почта.url
C:\Users\вадим\Favorites\Links\Карты.url
C:\Users\вадим\Favorites\Links\Маркет.url
C:\Users\вадим\Favorites\Links\Новости.url
C:\Users\вадим\Favorites\Links\Словари.url
C:\Users\вадим\Favorites\Links\Видео.url
C:\Users\вадим\Favorites\Links\Музыка.url
C:\Users\вадим\Favorites\Links\Диск.url

Эти ярлыки есди не нужны, исправьте (она их удалит) с помощью утилиты ClearLNK

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Vadim4495]

Удалил эти 2 проги и ярлыки.

[regist]

что с проблемой?

[Vadim4495]

Проблема отсутствует, выражаю огромную благодарность. И тут же есть ещё подозрение на открывание вкладок, и висящих банеров, новую тему создавать?

[regist]

И тут же есть ещё подозрение на открывание вкладок, и висящих банеров, новую тему создавать?

Это на другой системе? Тогда да, новую тему. А тут.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Vadim4495]

Сделал всё, что рекомендовалось (обновить, установить пару программ и т.д.), Но до этой рекомендации, я пытался в ручную удалить все те файлы и папки которые были скачены в момент появления "висящих банеров" - это случилось в момент скачивания мною фотошопа... После удаления некоторых папок, эта проблема осталась, тогда я попытался остановить, затем удалить через планировщик задач, а планир.зад. мне выдает, что данная задача прекращена и по кругу одну за другой гоняет...Помогите, пожалуйста!)

[regist]

Опишите нормально проблему. Я ничего не понял. Понял, что что-то пытались удалить, какая-то задача... а в чём проблема так и не понял.

[Vadim4495]

Мы решили прошлую проблему с открытием вкладки фейсбук.
После этого я пытался скачать и установить фотошоп, попутно с ним установились на рабочем столе, такие ярлыки: вк, однокласники, майл.ру. И вместе с этим в хроме стали открываться новые вкладки - вулкан, и на некоторых сайтах - реклама.
Я пытался в ручную удалить все те файлы и папки, которые появились в то время, когда я устанавливал фотошоп. После удаления некоторых папок, эта проблема осталась. Тогда я попытался остановить задачу, которая запускает открытие вулкана, затем удалить через планировщик задач. А планир.зад. мне выдает (фото). Потом Сделал всё, что рекомендовалось (обновить, установить пару программ и т.д.) проблема с вулканом исчезла,а планировщик не работает.

[regist]

Сделайте логи этой https://yadi.sk/d/7dgjMleO3E3E9b версией Автологера.

[Vadim4495]

Сделал.

[regist]

Vadim4495, не знаю что вам там делали, но у вас половина заданий в планировщике заданий повреждено. Поэтому и ругается он. Что можно сделать кроме удаления повреждённых заданий идей нет.

[Vadim4495]

А как можно узнать, что это за задания (важные они, системные, и т.д.) и можно ли их заново задать, после того как удалить?