Рекламные окна в браузере и расширение Fast Search.

Здравствуйте, помогите, пожалуйста, избавиться от всплывающих рекламных окон и самопроизвольно устанавливающимся расширением Fast Search в Google Chrome. Спасибо.[IMG]http://virusinfo.info/images/attach/zip.gif[/IMG]

Уважаемый(ая) [B]mr.Sim[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

Удалите hdtask через установку программ в панели управления

Знакома ли Вам?
[CODE]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = gw.dom01.siv.intercom.ru:8080[/CODE]

HiJackThis [B](утилита находится в папке Автологера - ...\AutoLogger\HiJackThis\)[/B] [URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[CODE]
O4 - MSConfig\startupfolder: C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Zaxar Games Browser.lnk - C:\WINDOWS\pss\Zaxar Games Browser.lnkCommon Startup (2017/01/17)
O9 - Extra button: &Связанные заметки OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - (no file) (HKLM)
O24 - Desktop Component AutorunsDisabled: (no name) - (no file)
[/CODE]

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\ProgramData\hdtask\hdtask.exe','');
DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hdtask','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

Всё сделал, карантин выслал, отчёт Adwcleaner прилагаю.

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Всё сделал как велено. Проблема осталась.

1) - Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

2) [LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите File ([B]Файл[/B]) [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]


3) Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Сделано.

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Winlogon\Notify\agepgpah: agepgpah.dll [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1708537768-1614895754-682003330-1003 -> {8E02D41C-5924-4816-9490-33CCD28BEB72} URL = hxxp://search.yahoo.com/search?ei=ISO-8859-1&fr=vmn&type=photopos&q={searchTerms}
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Extension: (Fast search) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\amcontextmenu@loucypher [2017-01-19]
FF Extension: (No Name) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\extensions\{7f57cf46-4467-4c2d-adfa-0cba7c507e54}.xpi [not found]
FF Extension: (No Name) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\extensions\[email protected] [not found]
FF Extension: (No Name) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\extensions\[email protected] [not found]
FF Extension: (No Name) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\extensions\amcontextmenu@loucypher [not found]
FF Extension: (TSearch) - C:\Program Files\Mozilla Firefox\browser\features\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2017-01-17] [not signed]
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=820325
CHR Plugin: (Shockwave Flash) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\gcswf32.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll => No File
CHR Plugin: (Java Deployment Toolkit 6.0.240.7) - C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll => No File
CHR Plugin: (Java(TM) Platform SE 6 U24) - C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll => No File
CHR Plugin: (Adobe Acrobat) - C:\Program Files\Adobe\Reader 9.0\Reader\Browser\nppdf32.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\pdf.dll => No File
CHR Plugin: (Chrome NaCl) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Google Gears 0.5.33.0) - C:\Program Files\Google\Chrome\Application\49.0.2623.112\gears.dll => No File
CHR Plugin: (Google Update) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Update\1.2.183.39\npGoogleOneClick8.dll => No File
CHR Extension: (Fast search) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-17]
OPR Extension: (Fast search) - C:\Documents and Settings\Банкомат\Application Data\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-17]
S4 2197DC71E4; \??\C:\WINDOWS\TEMP\2197DC71E4.sys [X]
S4 219F5E8B91; \??\C:\WINDOWS\TEMP\219F5E8B91.sys [X]
S4 21E132866C; \??\C:\WINDOWS\TEMP\21E132866C.sys [X]
S4 222A4B0045; \??\C:\WINDOWS\TEMP\222A4B0045.sys [X]
S4 22ECD831E6; \??\C:\WINDOWS\TEMP\22ECD831E6.sys [X]
S4 23101E923A; \??\C:\WINDOWS\TEMP\23101E923A.sys [X]
S4 40A06A5799; \??\C:\WINDOWS\TEMP\40A06A5799.sys [X]
S4 4F86C17DF0F280DE; \??\C:\WINDOWS\TEMP\1FC2B809F2.sys [X]
2017-01-17 12:36 - 2017-01-17 12:36 - 00000000 ____D C:\WINDOWS\IObit
2017-01-17 12:35 - 2017-01-17 12:35 - 00000000 ____D C:\Documents and Settings\Банкомат\Application Data\IObit
2017-01-17 12:35 - 2017-01-17 12:35 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\IObit
Folder: C:\Documents and Settings\Банкомат\Мои документы\SelfServ87
2017-01-17 12:34 - 2017-01-17 12:35 - 17628560 _____ (IObit ) C:\Documents and Settings\Банкомат\Local Settings\Temp\90.tmp.exe
2017-01-17 12:34 - 2017-01-17 12:35 - 0000000 _____ () C:\Documents and Settings\Банкомат\Local Settings\Temp\MailRuUpdater.exe
2017-01-17 12:30 - 2017-01-17 12:30 - 0379904 _____ () C:\Documents and Settings\Банкомат\Local Settings\Temp\xuninst.exe
Task: C:\WINDOWS\Tasks\Google Software Updater.job => <==== ATTENTION
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:A4E58C2B [294]
AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:B6AC352B [128]
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Сделано. Проблема не ушла.

пробуйте отключить все расширения в chrome и сообщите, что с проблемой?

Отключил. Fast Search и рекламные окна не исчезают. :(

Эти расширения все вам знакомы (сами ставили) ?
[CODE]FF Extension: ([B]Adguard AdBlocker[/B]) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\[email protected] [2017-01-17]
FF Extension: (Fast search) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\amcontextmenu@loucypher [2017-01-19]
FF Extension: ([B]United States English Spellchecker[/B]) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\[email protected] [2016-03-19]
FF Extension: ([B]Fast Dial)[/B] - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\[email protected] [2016-12-12]
FF Extension: ([B]Firefox Hotfix[/B]) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\[email protected] [2016-08-31]
FF Extension: ([B]S3.Google Translator[/B]) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\[email protected] [2016-10-19]
FF Extension: ([B]Mozilla Archive Format[/B]) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\{7f57cf46-4467-4c2d-adfa-0cba7c507e54}.xpi [2016-06-14]
FF Extension: ([B]Adblock Plus[/B]) - C:\Documents and Settings\Банкомат\Application Data\Mozilla\Firefox\Profiles\x3989fnh.default-1386248123843\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-11-25]
FF Extension: ([B]TSearch[/B]) - C:\Program Files\Mozilla Firefox\browser\features\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2017-01-17] [not signed][/CODE]

[CODE]CHR Extension: ([B]Adguard Антибаннер[/B]) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\bgnkhhnnamicmpeenaelnjfhikgbkllg [2017-01-17]
CHR Extension: ([B]Fast Dial[/B]) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\fdnbdgmkhikelgaohpgdpcecklddmpaj [2015-08-05]
CHR Extension: ([B]Dogs Collage[/B]) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lcjmkdpjknfddcaklkcaimkinhdlebcd [2017-01-18]
CHR Extension: ([B]Платежная система Интернет-магазина Chrome[/B]) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-19]
CHR Extension: ([B]Auto-Translate[/B]) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\obgoiaeapddkeekbocomnjlckbbfapmk [2016-03-29]
CHR Extension: (Fast search) - C:\Documents and Settings\Банкомат\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-17][/CODE]

Сейчас вы их все отключали или только Fast search ?

[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.

Все расширения ставил сам. Кроме Fast Search. Удаляю папку amcontextmenu@loucypher и через секунду она создаётся заново. В Опере всё, кажется, норм.

[quote="regist;1429371"]Сейчас вы их все отключали или только Fast search ?[/quote]
не ответили.

+ [url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда.[/url]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[quote="mr.Sim;1429379"]Удаляю папку amcontextmenu@loucypher и через секунду она создаётся заново.[/quote]
А зачем вы удаляете папкой? Удалять надо через браузер через управление расширениями. И у вас это расширение и в Мозиле и в Опере, и в Хроме.

Отключал все расширения.

1) [url=http://virusinfo.info/showthread.php?t=121767&p=897827&viewfull=1#post897827]Выполните скрипт в uVS[/url] и пришлите карантин. На вопросы об удаление Java (если будут) соглашайтесь.

[CODE];uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v388c
BREG
delall HTTP://SEARCHIC-LIT.RU
delall HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B7BC737A8-BA61-4564-9CA5-332011CBE042%7D&GP=811022
delall HTTP://MAIL.RU/CNT/10445?GP=811021
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.65\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\БАНКОМАТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\À‘À°À½ÀªÀ½À£À°Ñ‚\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\X3989FNH.DEFAULT-1386248123843\SEARCHPLUGINS\MAILRU.XML
zoo %SystemDrive%\PROGRAM FILES\NCH SOFTWARE\PRISM\PRISM.EXE
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\PLUG_INS\ACCESSIBILITY.API
delref F:\TRANSCENDSERVICE(JF).EXE
deltmp
; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022F0} /quiet
czoo
restart[/CODE]

2) Сделайте свежий лог Check Browsers' LNK by Dragokas & regist.

Сделано. Только не могу прикрепить файлы. Почистите, пожалуйста, мой файловый архив.

1) [quote="regist;1429608"]Выполните скрипт в uVS и пришлите карантин.[/quote]
карантин так и не прислали.

2)
[quote="mr.Sim;1429628"]Почистите, пожалуйста, мой файловый архив.[/quote]
мы этого сделать не можем, зато можете сами через менеджер вложений. Ссылка на оглавление ЧАВО у меня в подписи.

свежий лог Check Browsers' LNK