Goodle Chrome грузится при запуске Windows

Goodle Chrome грузится при запуске Windows. После перехода вручную на стартовую страницу валит рекламу вместо перехода на выбранный сайт.

Уважаемый(ая) [B]Ugo[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\HomPute\AppData\Roaming\curl\curl_7_54.exe','');
QuarantineFile('C:\Users\HomPute\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeARMHelper.vbs','');
QuarantineFile('C:\Users\HomPute\AppData\Roaming\SETUPS~1\ml.py','');
QuarantineFile('C:\Users\HomPute\AppData\Roaming\setupsk\ml.py','');
DeleteService('24E49C24');
DeleteService('mqwribxf');
DeleteService('nlqouwys');
TerminateProcessByName('c:\users\hompute\appdata\roaming\setupsk\python\pythonw.exe');
DeleteFile('c:\users\hompute\appdata\roaming\setupsk\python\pythonw.exe','32');
DeleteFile('C:\Users\HomPute\AppData\Roaming\setupsk\python\_ctypes.pyd','32');
DeleteFile('C:\Windows\system32\drivers\mqwribxf.sys','32');
DeleteFile('C:\Windows\system32\drivers\nlqouwys.sys','32');
DeleteFile('C:\Users\HomPute\AppData\Local\Temp\24E49C24.sys','32');
DeleteFile('C:\Users\HomPute\AppData\Local\yc\Application\yc.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ycAutoLaunch_10CD2CEC1FD343AEEDC6ECDD8EBC456B');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mewaztcsxn');
DeleteFile('C:\Users\HomPute\AppData\Roaming\setupsk\ml.py','32');
DeleteFile('C:\Users\HomPute\AppData\Roaming\SETUPS~1\ml.py','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk_upd');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
DeleteFile('C:\Users\HomPute\AppData\Local\Kometa\Application\kometa.exe','32');
DeleteFile('C:\Windows\Tasks\RadioBoost.job','32');
DeleteFile('C:\Windows\system32\Tasks\curl','32');
DeleteFile('C:\Users\HomPute\AppData\Roaming\curl\curl.exe','32');
DeleteFile('C:\Users\HomPute\AppData\Roaming\curl\curl_7_54.exe','32');
DeleteFile('C:\Windows\system32\Tasks\curls','32');
DeleteFile('C:\Windows\system32\Tasks\CurrencyConvertor','32');
DeleteFile('C:\Windows\system32\Tasks\CurrencyConvertor2','32');
DeleteFile('C:\Windows\system32\Tasks\setupsk','32');
DeleteFile('C:\Windows\system32\Tasks\setupsk_upd','32');
DeleteFile('C:\Windows\system32\Tasks\wutphost','32');
DeleteFile('C:\Users\HomPute\AppData\Local\wutphost\wutphost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Пофиксите в HiJack из папки Autologger
[CODE]O17 - HKLM\System\CSS\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 35.177.46.238
O17 - HKLM\System\CSS\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 46.101.28.31
O17 - HKLM\System\CSS\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{AB21833A-AFB2-4939-BE64-472663EE8066}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: NameServer = 82.202.226.203[/CODE]
[B][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи. [/color][/B]

вставил новые логи

Выданную рекомендацию выполнять нужно полностью, а не так, как Вам вздумалось. В HiJack ничего и не подумали исправить.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Повторил скрипт и хайджет фикс. Повторил фарбар

Прочитайте уже инструкцию по подготовке логов Farbar и прикрепите файлы безо всякого их переименования

Файлы FRST.txt и Addition.txt

Расширение Currency convertor удалите в Хроме.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
Startup: C:\Users\HomPute\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AdobeARMHelper.vbs [2016-08-17] ()
Tcpip\..\Interfaces\{4C2435E1-98BC-4E11-83AB-3E09CE20C12F}: [NameServer] 35.177.46.238,46.101.28.31,82.202.226.203
Tcpip\..\Interfaces\{AB21833A-AFB2-4939-BE64-472663EE8066}: [NameServer] 35.177.46.238,46.101.28.31,82.202.226.203
Tcpip\..\Interfaces\{E2CE7FA2-1F8D-46B4-BB7D-039AB379E18F}: [NameServer] 35.177.46.238,46.101.28.31,82.202.226.203,192.168.0.1
Toolbar: HKLM - No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
2017-11-02 22:01 - 2017-11-02 23:06 - 000000000 ____D C:\Users\HomPute\AppData\Roaming\CurrencyConvertor
2017-11-02 21:59 - 2017-11-05 03:29 - 000000000 ____D C:\Users\HomPute\AppData\Roaming\curl
2017-11-02 21:58 - 2017-11-03 21:46 - 000000000 ____D C:\Users\HomPute\AppData\Local\yc
2017-11-02 21:56 - 2017-11-05 03:29 - 000000000 ____D C:\Users\HomPute\AppData\Roaming\setupsk
2017-11-02 21:56 - 2017-11-03 11:03 - 000000000 ____D C:\Users\HomPute\AppData\Roaming\setupsk_upd
2017-11-02 21:55 - 2017-11-04 07:55 - 000000000 ____D C:\Users\HomPute\AppData\Local\wutphost
2017-11-02 21:45 - 2017-11-02 23:05 - 000000000 ____D C:\Users\HomPute\AppData\Local\Amigo
2017-11-02 21:49 - 2017-11-02 21:50 - 002643640 _____ () C:\Users\HomPute\AppData\Local\Temp\3V96RRODF5rU.exe
2017-11-02 21:55 - 2017-11-02 21:56 - 001989327 _____ () C:\Users\HomPute\AppData\Local\Temp\Cfc4OwSRP9jZ.exe
2017-11-02 21:56 - 2017-11-02 21:56 - 004011696 ____N () C:\Users\HomPute\AppData\Local\Temp\DYcqxeFUmIFe.exe
2017-11-02 22:01 - 2017-11-02 22:01 - 001599306 ____N () C:\Users\HomPute\AppData\Local\Temp\GerBQcxtWPML.exe
2017-11-02 21:58 - 2017-11-02 21:58 - 038316032 ____N (The Chromium Authors) C:\Users\HomPute\AppData\Local\Temp\l9tl4UzyHpEX.exe
2016-11-29 15:00 - 2016-11-29 15:00 - 000589824 _____ (__VENDOR__) C:\Users\HomPute\AppData\Local\Temp\msihelper.dll
2016-08-17 12:44 - 2016-08-08 19:51 - 000338338 _____ () C:\Users\HomPute\AppData\Local\Temp\stub.exe
2017-11-02 21:51 - 2017-11-02 21:51 - 000410616 _____ (Mail.Ru) C:\Users\HomPute\AppData\Local\Temp\zGjAxYnDbzo4.exe
Task: {10630F56-9598-4159-B1BB-681B39D63B93} - \setupsk -> No File <==== ATTENTION
Task: {18281BF2-AEE4-4C70-A309-AFCCE7A8436B} - System32\Tasks\{4C8E03F0-CD33-4BC2-9E05-D8B336A843D1} => C:\Users\HomPute\Downloads\Beach_life\Beach_life\BeachLife.exe [2002-08-14] ()
Task: {276F7F86-6C39-49C6-9D23-0634562764B2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files\Google\Update\GoogleUpdate.exe [2016-06-29] (Google Inc.)
Task: {309A81D9-CD4D-4153-91FA-6CFA6B5C92D1} - \curl -> No File <==== ATTENTION
Task: {37FB4E40-0D0A-4B61-A4C4-2933BC4CBF88} - \CurrencyConvertor2 -> No File <==== ATTENTION
Task: {486FCC8E-C5E2-4A94-8E36-DC992C07C413} - \setupsk_upd -> No File <==== ATTENTION
Task: {5EF971E4-CB72-4219-B0A2-DBF30DE4A7D8} - \wutphost -> No File <==== ATTENTION
Task: {6642E42B-5320-4F08-9FB9-79B4E25DD8A4} - \curls -> No File <==== ATTENTION
Task: {9CC4CF5F-5FCF-49F8-B00A-A1AA4E960E9E} - \CurrencyConvertor -> No File <==== ATTENTION
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

Фикслог

Проблема решена?

При очередном входе в ЛК на вирус инфо попал на Пал Пэй, это специально?

Исключено, видать сами куда-то ткнули.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]