Вирус mail.ru

Здравствуйте.
Столкнулся с проблемой неудаляемого вируса (скорее всего Mail.ru)
Скачивал torrent-файл, не заметил формат *.exe, распаковались все программы от mail и
браузер Google Chrome стал самостоятельно открывать рекламные сайты (Вулкан и пр.)
Программы Mail (Амиго, Одноклассники и пр.) были стерты, с браузером справиться не удалось.


Антивирусы: Kaspersky free, NOD ESS 8, Dr.Wev Cure It не видят.
Обнаруживает только ADWCleaner, удаляет, но после перезагрузки компьютера и перезапуска
Google Chrome - [B]находит снова[/B] ([B]startup_urls[/B] ; [B]mail.ru/cnt/10445?gp=818410[/B] )
После полной переустановки системы (Windows 7 OEM Home Base) [B]проблема вернулась[/B].


Возможно что данная вредоносная программа прикреплена к учетной записи Google Chrome?
Заранее спасибо за помощь!

Уважаемый(ая) [B]PryanikovAV[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

Файлы отчета сканирования FRST64:

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.google.com/ig/redirectdomain?brand=ASUT&bmod=ASUT","hxxp://mail.ru/cnt/10445?gp=818410"
U3 tmlwf; no ImagePath
U3 tmwfp; no ImagePath
2016-12-27 15:54 - 2016-12-27 15:54 - 00000000 ____D C:\ProgramData\Orbit
Shortcut: C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Игровой центр Mail.Ru.lnk -> C:\Users\Алексей\AppData\Local\Mail.Ru\GameCenter\[email protected] (No File) <===== Cyrillic
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
ZIP: C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите временно антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.

Выполнил. Извиняюсь за задержку, почему то с первого раза пост не опубликовался.

[url]http://rgho.st/7Cq8yC2Q2[/url]

Я просил Fixlog.txt прикрепить.

Что с проблемой?

[QUOTE=Vvvyg;1426061]Что с проблемой?[/QUOTE]

Проблема не решена:
ADWCleaner:
[FONT=courier new]Найдена настройка Chromium: [C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/10445?gp=818410
[/FONT]
Файл [B]Fixlog.txt[/B] во вложении.
Обновленный файл отчета [B]FRST[/B] доступен по ссылке:
[url]http://rgho.st/6BfjgZ5Zr[/url]

P.S.: при удалении моей учетной записи из Google Chrome - проблема исчезает.
При повторной синхронизации - возвращается.
При синхронизации моей учетной записи Google Chrome на другом компьютере - проблема проявляется там.
Написал в поддержку Google Chrome - не отвечают в течение 16 дней.

Вариант один: [URL="https://support.google.com/chrome/answer/2390059?co=GENIE.Platform%3DDesktop&hl=ru"]Отключить аккаунт Google[/URL].

Благодарю за совет, но для меня это не выход.
У Вас нет информации о данном startup urls?
На сколько это вредно для компьютера/пользователя?
[FONT=Courier New]hxxp://mail.ru/cnt/10445?gp=818410[/FONT]

Вредоносного в нём ничего, всё дело в том, что не Вы сами его прописали.
Попробуйте вручную удалить этот адрес в настройках Chrome, возможно, произойдёт обратная синхронизация.

[QUOTE=Vvvyg;1426812]Попробуйте вручную удалить этот адрес в настройках Chrome, возможно, произойдёт обратная синхронизация.[/QUOTE]

Имеется ввиду история? cookies? Поисковые системы?
Не могу найти в настройках данную строку :(

А вообще, осуществляется в Хроме переход на mail.ru? Если нет - может, это и несущественно.

Я Вас понял)
Нет, переход на mail.ru не осуществляется.
Просто эта строка проявляется в AdwCleaner каждый раз после запуска браузера с моей учетной записью Chrome, даже на других компьютерах.

Тему можно закрывать?

Видимо да.
Буду искать решение дальше.

Запустите AdwCleaner и нажмите [B]Файл (File) -> Деинсталлировать (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].