Постоянная переадресация страниц в браузере Chrome, рекламные баннеры [not-a-virus:AdWare.Win32.Agent.jvij ]

Добрый вечер! При переходе по ссылкам в браузере попадаешь на другие страницы с рекламой и другими не нужными адресами.

Уважаемый(ая) [B]Rabbit62[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe');
TerminateProcessByName('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe');
StopService('ReimageRealTimeProtector');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '');
QuarantineFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', '');
QuarantineFile('C:\Program Files (x86)\Common Files\AppDownloads\93D20AAC-F46D-48EF-8BBB-1C4210F13F9F.exe', '');
QuarantineFile('C:\Users\BOSS\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '');
QuarantineFile('C:\PROGRA~3\266753ab\70805d5e.dll', '');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe', '32');
DeleteFile('C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe', '32');
DeleteFile('C:\Program Files (x86)\Common Files\AppDownloads\93D20AAC-F46D-48EF-8BBB-1C4210F13F9F.exe', '32');
DeleteFile('C:\Users\BOSS\AppData\Local\UpdateAdmin\UpdateAdmin.exe', '32');
DeleteFile('C:\PROGRA~3\266753ab\70805d5e.dll', '32');
DeleteService('ReimageRealTimeProtector');
DeleteFileMask('c:\program files\reimage', '*', true);
DeleteFileMask('c:\program files (x86)\common files\appdownloads', '*', true);
DeleteFileMask('c:\users\boss\appdata\local\updateadmin', '*', true);
DeleteFileMask('c:\progra~3\266753ab', '*', true);
DeleteDirectory('c:\program files\reimage');
DeleteDirectory('c:\program files (x86)\common files\appdownloads');
DeleteDirectory('c:\users\boss\appdata\local\updateadmin');
DeleteDirectory('c:\progra~3\266753ab');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "93D20AAC-F46D-48EF-8BBB-1C4210F13F9F" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "A93D20AAC-F46D-48EF-8BBB-1C4210F13F9F" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ReimageUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UpdateAdmin" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{9FD4AD8B-28DC-9404-0B2E-BC97B73BE44F}" /F', 0, 15000, true);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'AppDownloads');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Добрый вечер! Все манипуляции выполнила.

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования, [B]только если используете программы от этого портала[/B], уберите галочки на вкладках [B]Папки[/B] (Folders) и [B]Реестр[/B] (Registry) со всех пунктов, где упоминается Mail.Ru.

Установите в пункте меню "Настройки" (Settings) галочку "[B]Сброс политик Chrome[/B]" .
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.

Проблемы остались. Постоянно появляются баннеры с рекламой на вкладках и продолжается переадресация на страницы с рекламой, в Chrome при попытке открыть настройки с расширениями появляется страница: about:blank. Прикрепила запрошенный файл отчета AdwCleaner[C1].txt, но после перезагрузки открылся AdwCleaner[C2].txt, так что прикрепляю еще его

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Пересылаю запрошенные файлы

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CMD: powershell -command enable-computerrestore -drive \"C:\\\"
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-3875636235-2918887575-2500174473-1000 -> {200C36B1-309D-43FF-B2D3-7D415F3E4F80} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11187
SearchScopes: HKU\S-1-5-21-3875636235-2918887575-2500174473-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BE81CBC53-3482-4E16-ACC6-B48F44DEEC6A%7D&gp=801943
Toolbar: HKU\S-1-5-21-3875636235-2918887575-2500174473-1000 -> No Name - {1452AA50-1A89-41F4-B7C2-DC14C6958BEA} - No File
FF user.js: detected! => C:\Users\BOSS\AppData\Roaming\Mozilla\Firefox\Profiles\3v9odk6y.default\user.js [2016-03-23]
CHR Extension: (No Name) - C:\Users\BOSS\AppData\Local\Google\Chrome\User Data\Default\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-03-11]
CHR Extension: (Помощник Online) - C:\Users\BOSS\AppData\Local\Google\Chrome\User Data\Default\Extensions\kgkbakedaeiiieiipomfpgcfbfdphmhl [2016-03-13]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-3875636235-2918887575-2500174473-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [aeembeejekghkopiabadonpmfpigojok] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3875636235-2918887575-2500174473-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3875636235-2918887575-2500174473-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lanabbpahpjnaljebnpgkjemcbkepiak] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (The Safe Surfing) - C:\Users\BOSS\AppData\Roaming\Opera Software\Opera Stable\Extensions\kcknbenjnkkjknphmnidanjifbgphjke [2016-03-11]
Task: {3F827D5F-B140-4D0C-9640-42547A5C7EEE} - \Microsoft\Windows\KRBUUS\KRB Updater Utility Service -> No File <==== ATTENTION
Task: {64AB9800-0B67-46FD-9BAC-6326F8E6DC5F} - \Microsoft\Windows\SafeBrowser -> No File <==== ATTENTION
Task: {65EFC7FC-46C1-43F1-940C-E004C9411C03} - \Microsoft\Windows\extsetup -> No File <==== ATTENTION
Task: {D38E3B07-9498-4ECD-8426-FFC7BBD99E1A} - \SafeBrowser -> No File <==== ATTENTION
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

Спасибо большое. Вроде бы все работает нормально, вкладка расширения в Chrome открывается и пока никаких баннеров. Еще раз спасибо.

Включите [URL="http://support.kaspersky.ru/12406"]детектирование потенциально нежелательных программ в Kaspersky Total Security 2016[/URL].

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]