Назойлевая реклама в браузере [not-a-virus:HEUR:AdWare.Win32.Seserch.gen ]

Всплывающая реклама в chrome, сторонняя поисковая система.

Уважаемый(ая) [B]Виктор Троян[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

:?:?

Здравствуйте !!!

[URL="http://virusinfo.info/showthread.php?t=130828"]отключите антивирусную программу [/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\Александр\appdata\roaming\closer.exe','');
QuarantineFile('C:\Users\Александр\appdata\local\fupdate\fupdate.exe','');
QuarantineFile('C:\WINDOWS\syswow64\searchprotectservice.exe','');
QuarantineFile('C:\WINDOWS\system32\searchprotectservice.exe','');
DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
DeleteFile('C:\Users\8523~1\AppData\Local\Temp\TasksWatch.exe','32');
DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\hostskidki\config.json','32');
DeleteFile('C:\Users\Александр\AppData\Local\hostskidki\stub.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\29944\a8667.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\AmiUpdXp','64');
DeleteFile('C:\WINDOWS\system32\Tasks\fupdate','64');
DeleteFile('C:\WINDOWS\system32\searchprotectservice.exe','32');
DeleteFile('C:\WINDOWS\syswow64\searchprotectservice.exe','32');
DeleteFile('C:\Users\Александр\appdata\local\fupdate\fupdate.exe','32');
DeleteFile('C:\Users\Александр\appdata\roaming\closer.exe','32');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hostskidki','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SwitchBoard','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TasksWatch','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(4);
RebootWindows(true);
end.[/CODE]

После перезагрузки выполните скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке [B]вверху[/B] темы [COLOR="Red"]Прислать запрошенный карантин[/COLOR]
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )

+
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/finish/1/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven/10[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=146192"]этом руководстве[/URL].

:):)

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

:http:

+
[URL="http://virusinfo.info/showthread.php?t=7239"][B]Выполните скрипт в AVZ[/B]:[/URL](в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
[CODE]begin
ClearQuarantine;
DeleteFile('C:\Users\Александр\appdata\local\fupdate\fupdate.exe','32');
DeleteFile('C:\Users\Александр\appdata\roaming\closer.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hbkweqlwvo');
RebootWindows(true);
end.[/CODE]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

После выполнения скрипта AVZ, проделайте:

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]

До сих пор реклама в chrome открывается. И при попытки поиска в google либо через поле для ссылок идет переадресация на [url]http://searche-engine.ru/?ref=aoy67&q=%D0%B2%D0%B0&subId=[/url] и открывается mail.ru

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

[CODE]CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
Toolbar: HKU\S-1-5-21-1428400448-3060654219-1515300953-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
Toolbar: HKU\S-1-5-21-1428400448-3060654219-1515300953-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B555FD495-50B8-4C11-B3E1-A63803150A4E%7D&gp=811014
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-09-24]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-09-24]
FF Extension: (Спутник @Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-03-03] [not signed]
FF Extension: (.) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4e38134d-ba98-4066-b898-e296d8acc938}.xpi [2014-03-19] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-09-24]
FF Extension: (Shopping Suggestion) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{D394D188-BAC7-4e03-8FAF-389A4D7EC6F4}.xpi [2014-03-19] [not signed]
FF Extension: (superpromokody) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{D723D90A-8E67-11E3-81AA-43CE6088709B}.xpi [2014-02-06] [not signed]
FF Extension: (No Name) - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha291\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta92\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha998\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2248\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2612\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home134\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5391\ff [not found]
FF SearchPlugin: C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-09-24]
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha291\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta92\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha998\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2248\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2612\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home134\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5391\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release2085\ff => not found
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha5734\ff => not found
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\gcswf32.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\pdf.dll => No File
CHR Plugin: (Chrome NaCl) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Google Gears 0.5.33.0) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\gears.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll => No File
CHR Extension: (Adblock Plus) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-09-13]
CHR Extension: (Adblock Plus) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-11-17]
CHR Extension: (Norton Security Toolbar) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk [2015-11-16]
CHR HKU\S-1-5-21-1428400448-3060654219-1515300953-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [noebaifjopccondbkcieccphcpijhdne] - C:\Users\Александр\AppData\Local\CRE\noebaifjopccondbkcieccphcpijhdne.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [noebaifjopccondbkcieccphcpijhdne] - C:\Users\Александр\AppData\Local\CRE\noebaifjopccondbkcieccphcpijhdne.crx <not found>
OPR Extension: (superpromokody) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgnblgknonceobjdkepgodbolcpkgipk [2014-04-08]
Task: {0B7A0EB5-2B90-4F83-AFA8-6A437CD42367} - \syslog -> No File <==== ATTENTION
Task: {10FF35A7-46EF-4E29-895F-FF164A03F0E2} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {135D82F3-5D9D-440E-B1D5-1D362FB2B5F2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {23D155CF-5CB0-408A-9965-50899DDD966B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {34D55D32-3DE8-4065-80CA-58632D349EC0} - \svshost -> No File <==== ATTENTION
Task: {4EE2BC2C-8B4F-4AB0-B2B5-91EA0FA87767} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {64665C9E-B76F-4373-BDBF-2271869B32D2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {76C24C99-CE8F-45FE-9538-4A92F106CA82} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {908C66C1-6856-4BF2-B96F-0B8ED752D7EB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {956232F1-BF07-4784-A4FD-E22F21A195CE} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {C8FF12BD-C972-484D-8AA5-3E07A8D96450} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {D5034514-91B3-40EA-BB7A-C06D29DB0436} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {E8FA0F87-07E4-4AE1-AB98-2D8AA2C05253} - \CCleanerSkipUAC -> No File <==== ATTENTION
Task: {F18154DE-EAD1-4D4F-81A8-78C0509D50D2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
MSCONFIG\startupfolder: C:^Users^Александр^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.Startup
EmptyTemp:
Reboot:[/CODE][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

На [QUOTE]- - - - -Добавлено - - - - -

C:\Users\Александр\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\Mail.Ru.lnk [/QUOTE]
Не обращайте внимание, это я для себя добавил, напоминалку.

По прежнему осталась проблема.

Сделайте лог полного сканирования [URL="http://virusinfo.info/showthread.php?t=53070&p=457118#post457118"][B]MBAM[/B][/URL]

Полное сканирование MBAM

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[ATTACH=CONFIG]644655[/ATTACH]

Удалите всё найденное в MBAM. Лог удаления прикрепите к теме.

Поиск в google и открытие рекламных вкладок осталось по прежнему. Думаю попробовать переустановить chrome.

Откройте браузер, в адресной строке введите chrome://extensions/ , отключите все расширения, проверьте проблему (наличие перенаправлений и рекламы), при их отсутствии. Включайте расширения по одному (поочередно) и проверяйте проблему. Сообщите при включении какого расширения проблема возобновилась.

Спасибо большое, проблема решена, но что странно, расширение которое мешало работе было отключено, поэтому я не придавал ему значение. Еще раз большое спасибо

[quote="mrak74;1409618"]Сообщите при включении какого расширения проблема возобновилась.[/quote]

[quote="Виктор Троян;1409650"]расширение которое мешало работе было отключено, поэтому я не придавал ему значение[/quote]

Что это было за расширение ? Так на будущее, чтобы нам знать, какое из расширений себя скомпрометировало.

Вирус заразил все расширения даже при включении adblock появлялась реклама поэтому пришлось переустановить расширения.

Ясно. Так как проблема решена, тему закрываю.