Рекламное ПО. Троян в dnsapi.dll. Реклама в браузере. [Trojan.Win32.Hosts2.gen ]

[QUOTE=belka__l;1362275]IP никакие не прописывали.
[/QUOTE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net
107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
Hosts:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

[QUOTE=belka__l;1362275]
И кстати сейчас открыла Хром и он сообщил что добавлено расширение Поиск Mail.ru, хотя я конечно же его не добавляла.
Он дал выбор установить или удалить, я удалила. Но ведь если он опять лезет, значит все таки еще где-то есть остатки да?[/QUOTE]

Mail.ru - установлено расширение в браузере Chrome, поэтому это не угроза..

Код пофискила. Но по моему ничего не изменилось..хром при загрузке и открытии вкладок все равно грузит ЦП до 99% а потом падает..
Лог прилагаю.

приложите новый лог FRST.

Вы не написали какие именно, сделала все три.
Прилагаю.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=profitraf7","hxxp://www.mysites123.com/?type=hp&ts=1455948034&z=e6b73e66bcaba479f502d6dg8zbwdwct1zab7ecc0z&from=amt&uid=hgstxhts545032a7e680_tea45c4813wx1a13wx1ax"
CHR DefaultSearchKeyword: Default -> MusicSig VK.com
CHR Plugin: (Widevine Content Decryption Module) - C:\Users\Николай\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.8.823\_platform_specific\win_x86\widevinecdmadapter.dll => No File
CHR Plugin: (WildTangent Games App V2 Presence Detector) - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll => No File
CHR Plugin: (Shockwave Flash) - C:\WINDOWS\SysWOW64\Macromed\Flash\NPSWF32_18_0_0_209.dll => No File
CHR Extension: (MusicSig vkontakte) - C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-02-29]
CHR Extension: (Google RU) - C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjopffcocgcnkigpnnmpcoimhjbjmba [2016-02-29]
CHR Profile: C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Profile 1
HKU\S-1-5-21-719144644-2674792750-946892443-1001\...\StartupApproved\Run: => "DIMDownloading your update...1338924290338"
HKU\S-1-5-21-719144644-2674792750-946892443-1001\...\StartupApproved\Run: => "6AC05BB665D9BE05A76CB987836A19CFD5A17E42._service_run"
HKU\S-1-5-21-719144644-2674792750-946892443-1001\...\StartupApproved\Run: => "SaveYouTime"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\AdobeAAMUpdater-1.0]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\DIMDownloading your update...1338924290338]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\6AC05BB665D9BE05A76CB987836A19CFD5A17E42._service_run]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\SaveYouTime]
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\DIMDownloading your update...1338924290338" /f
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\6AC05BB665D9BE05A76CB987836A19CFD5A17E42._service_run" /f
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\SaveYouTime" /f
Reg: reg delete "HKU\S-1-5-21-719144644-2674792750-946892443-1001\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\GoogleChromeAutoLaunch_619CD3A184F3B7BB8A9B0FCD21361735" /f
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

Код профиксила, лог прилагаю. Новый лог FRST также сделала, прилагаю.

Про Universal Virus Sniffer, только что увидела. Сейчас сделаю!

В браузере Chrome имеется два профиля:
[CODE]CHR Profile: C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Default
CHR Profile: C:\Users\Николай\AppData\Local\Google\Chrome\User Data\Profile 1[/CODE]
Каким из них Вы пользуетесь?

В Хроме, я так думаю Default рабочий, так как там иконка совпадает с используемым профилем.
А вот Profile 1 там я даже не знаю что..может когда заходили под другим профилем еще.

Полный образ автозапуска uVS сделала, прилагаю.

[URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт в uVS:[/URL]
[CODE];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EFPDLFPBBALMEEGEICFPCANIEMLOOHCH\3.5.1.2_0\NEIRON SEARCH TOOLS
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EFPDLFPBBALMEEGEICFPCANIEMLOOHCH\3.5.1.2_0\NEIRON SEARCH TOOLS
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HANJIAJGNONAOBDLKLNCDJDMPBOMLHOA\3.1.15_1\MUSICSIG VKONTAKTE
restart[/CODE]


Расширение "GOOGLE ДОКУМЕНТЫ ОФЛАЙН" в браузере chrome используете?

Скрипт uVS выполнила. В его папке появился лог.txt нужен??
Расширение "GOOGLE ДОКУМЕНТЫ ОФЛАЙН" в браузере chrome не используем.

[QUOTE=belka__l;1362349]Скрипт uVS выполнила. В его папке появился лог.txt нужен??
[/QUOTE]
да.

[QUOTE=belka__l;1362349]Расширение "GOOGLE ДОКУМЕНТЫ ОФЛАЙН" в браузере chrome не используем.[/QUOTE]

[URL="http://virusinfo.info/showthread.php?t=121769"]Выполните скрипт в uVS:[/URL]
[QUOTE];uVS v3.87 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv10.0
v385c
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\НИКОЛАЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.1_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
restart[/QUOTE]

Скрипт выполнила. Прилагаю оба лога (предыдущий скрипт и этот)

Что с проблемой в браузере?

Да все также.
При запуске Хрома загрузка ЦП 99% + еще и диск под 90%..появляется окошко страница не отвечает..потом где-то через 40-60 секунд все ок...открывается и загрузка ЦП и диска падает.
Открываешь новую вкладку опять ЦП до 99%...думает секунд 30..потом выдает about blank..а потом загружает ссылку..и ЦП падает до 20% примерно.

Попробуйте в качестве тестирование следующее:
1. закрыть браузер Chrome
2. Переименовать каталог:
[CODE]C:\Users\Николай\AppData\Local\Google\Chrome\User Data[/CODE]
на
[CODE]C:\Users\Николай\AppData\Local\Google\Chrome\User Data.bak[/CODE]
3. запустить браузре Chrome и воспроизвести проблему.

При старте загрузка тоже 99%..но потом новые вкладки открываются с меньшей загрузкой и намного быстрее и без about blank

Проверьте целостность системных файлов используя следующую команду в комнадной строке (cmd.exe) в привилегированном режиме (Run as Administrator):
[CODE]sfc /scannow[/CODE]
Сообщите результат.

В результате проверки нарушений целостности системы не обнаружено. Что делать с каталогом хрома который переименовала??

[QUOTE=belka__l;1362428]Что делать с каталогом хрома который переименовала??[/QUOTE]

Откатите обратно изменения предварительно закрыв Chrome, т.е. новый каталог удалите:
[CODE]C:\Users\Николай\AppData\Local\Google\Chrome\User Data[/CODE]

Далее переименуйте каталог:
[CODE]C:\Users\Николай\AppData\Local\Google\Chrome\User Data.bak[/CODE]
обратно в
[CODE]C:\Users\Николай\AppData\Local\Google\Chrome\User Data[/CODE]

Переименовала. Что дальше делать?? Можно ли как-то исправить это?? Чтобы загрузка браузера и страниц была быстрее??