Реклама в браузере

[CODE]CHR Extension: ([B]Duolingo в сети[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]aiahmijlpehemcpleichkcokhegllfjl[/B] [2016-04-20]
CHR Extension: ([B]Nordic Forest[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]amekpplpfocpmaimnmgfjoibodpjedie[/B] [2016-04-20]
CHR Extension: ([B]Диск Google[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]apdfllckaahabafndbhieahigkjlhalf[/B] [2016-04-20]
CHR Extension: ([B]YouTube[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]blpcfgokakmgnkcojhhkbfbldkacnbeo[/B] [2016-04-20]
CHR Extension: ([B]Adblock Plus[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]cfhdojbkjhnklbpkdaibdccddilifddb[/B] [2016-04-20]
CHR Extension: ([B]Google*Документы офлайн[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]ghbmnnjooekpmoecnnnilnnbdlolhkhi[/B] [2016-04-20]
CHR Extension: ([B]LinguaLeo English Translator[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]nglbhlefjhcjockellmeclkcijildjhi[/B] [2016-04-20]
CHR Extension: ([B]Платежная система Интернет-магазина Chrome[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]nmmhkkegccagdldgiimedpiccmgmieda[/B] [2016-04-20]
CHR Extension: ([B]Browsec VPN - Privacy and Security Online[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]omghfjlpggmjjaagoclmmobgdodcjboh[/B] [2016-04-20]
CHR Extension: ([B]Gmail[/B]) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\[B]pjkljhegncpnkpknbcohdijeoejaedia[/B] [2016-04-20]
CHR HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [[B]eofcbnmajmjmplflapaojjnihcjkigck[/B]] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-22]
CHR HKLM-x32\...\Chrome\Extension: [[B]gomekmidlodglbbmalcneegieacbdmki[/B]] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-05-22][/CODE]

эти расширения вам знакомы?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[CODE][B]Java(TM) 6 Update 45 [/B](HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216045FF}) (Version: 6.0.450 - Oracle)
[/CODE]деинсталируйте.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010133"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\StartupFolder: => "OrbitumUpdate.lnk"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\Run: => "gocoupon"
URLSearchHook: [S-1-5-21-1380935137-2005365065-2398988406-1001] ATTENTION => Default URLSearchHook is missing
URLSearchHook: [S-1-5-21-1380935137-2005365065-2398988406-1002] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-1380935137-2005365065-2398988406-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-1380935137-2005365065-2398988406-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://www.google.ru/webhp?tab=ww&ei=-2jXU7y6CMqI4gTy74G4BA&ved=0CBUQ1S4","hxxp://winyagd.ru/","hxxp://megatrack.org/","hxxp://cinema.megatrack/","hxxp://mail.ru/cnt/10445?gp=openpart5","hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://www.mystartsearch.com/?type=hp&ts=1446412918&z=26a03158fa1506a8131143bg9zfzcq3z1gdqeo7c5g&from=cmi&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDB06636","hxxp://www.yoursites123.com/?type=hp&ts=1450082892&z=8c3480ce7633160be12bd51g5z5wde3e6beq6z8w7b&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDB06636","hxxp://www.yoursearching.com/?type=hp&ts=1456165774&z=f600622aeb91d87fb8939adg8zfw3qegaq0w5mfmez&from=exp1&uid=st1000lm024xhn-m101mbb_s2smj9bdb06636"
EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[ATTACH=CONFIG]627204[/ATTACH] Не узнаю этого.

[quote="Rangnat Plain;1377477"]Не узнаю этого.[/quote]
это легал [url]https://chrome.google.com/webstore/detail/application-launcher-for/lmjegmlicamnimmfhcmpkclmigmmcbeh[/url]

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования MBAM.[/url]

Что-то там совсем не так, как написано в теме, нет пунктов выбора, чего сканировать. И имя пришлось самостоятельно вбивать при сохранении.

Удалите в MBAM всё кроме
[CODE]Hijack.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CONTROLSET001\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, 0http://stop-block.org/wpad.dat?ccbdcb1d78e5aa1780a0d2282b70c2a66596785, , [c17d674b0e8bff37c01f00a74fb553ad]
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AutoConfigUrl, http://stop-block.org/wpad.dat?ccbdcb1d78e5aa1780a0d2282b70c2a66596785, , [64daeec49cfd1b1b113a198ae02445bb][/CODE]

проверьте проблему.

Т.е. удалить эти файлы через эту же программу?

да.

Удалил, перезагрузил, при заходе на сайт все равно была реклама, но эта же программа оповестила, что заблокировала как рекламу. Увы, не успел скриншот сделать.

Судя по тому логу, что вы прикрепили вы ничего не удалили.

Прошу прощения, очень криво прочитал.

что сейчас с проблемой?

Осталась проблема. Просто открываю из браузера через поисковик нужные сайты через колесико, открывается новая вкладка и во время прогрузки просто подменяется сайт. Без возможности "вернуться" на нужный мне, чисто подмена.

[URL="http://www.opera-usb.com/ru/"]скачайте отсюда Оперу[/URL] и проверьте проблему в ней.

Проблему не заметил. Жалуется на "сертификат сервера не соответствует имени узла" со ссылками на сайты, как окно-предупреждение, но заменяющий рекламы нет.

В проблемном браузере

Отключите все расширения в браузере и проверяйте проблему.

Кажется, это все же расширения. За два часа перед отключением всех расширений я удалил в адблоке какую-то версию, которая была помечена как старая и необновляемая, но я как-то не особо углядел, может это и ее вина. Спасибо)

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]