Заражен chrome.exe

Добрый день. При создании вкладки в chrome, браузер пытается достучаться до каких-то левых сайтов c ай-пи 162.212.35.42.

Лог ESET:
Время;URL-адрес;Состояние;Приложение;Пользователь;IP-адрес
25.02.2016 14:11:11;[url]http://www.8vs.com/wp-content/uploads/2015/08/sneakthief2-100x100.jpg;Заблокировано[/url] во внутреннем "черном" списке;C:\Program Files (x86)\Google\Chrome\Application\chrome.exe;LPP\Aleksandr;162.212.35.42


Eset в свою очередь эти попытки блокирует и ссылается на chrome.exe.
Проверка eset, cureit, avz - не помогла.
У меня 64 битная система, соответственно п.1 раздела правила не выполнял, прилагаю логи.

Уважаемый(ая) [B]GODolubOFF[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте,

AVZ [URL="http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804"]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]Check Browsers' LNK[/URL] и приложите его в теме.

Прикладываю

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Готово.

Что из этого Вам знакома?
[CODE]
CHR Extension: (Unlimited Free VPN - Hola) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio [2016-02-19]
CHR Extension: (MusicSig vkontakte) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-02-26]
CHR Extension: (Vince) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgpdhkfmndlnlmmhcalabijjpogicdpa [2016-02-24]
CHR Extension: (VkOpt) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hoboppgpbgclpfnjfdidokiilachfcbb [2015-09-22]
CHR Extension: (Skyrama) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlehaidnnmjjkhgbbiombcdifogolhap [2015-08-17]
CHR Extension: (Speed Dial 2) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2015-11-11]
CHR Extension: (Speed Dial 3(Web)) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\lceefillmbhhileboicaeakgcikdocmm [2015-08-17]
[/CODE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
SearchScopes: HKLM -> {38E71DC2-38C6-4114-804D-5335E3D249DB} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKLM-x32 -> {38E71DC2-38C6-4114-804D-5335E3D249DB} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
SearchScopes: HKU\S-1-5-21-2022749744-2457161965-3510852188-1004 -> {38E71DC2-38C6-4114-804D-5335E3D249DB} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms}
CHR DefaultSearchKeyword: Default -> MusicSig VK.com
C:\Users\Aleksandr\AppData\Local\Temp\Aero.dll
C:\Users\Aleksandr\AppData\Local\Temp\System.dll
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Знакомо:
MusicSig vkontakte
Unlimited Free VPN - Hola
VkOpt
Speed Dial 2
Speed Dial 3(Web)

[QUOTE=GODolubOFF;1362424]Знакомо:
MusicSig vkontakte
Unlimited Free VPN - Hola
VkOpt
Speed Dial 2
Speed Dial 3(Web)[/QUOTE]
Если уверены, то для удаления незнакомых расширений выполните:
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Vince) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgpdhkfmndlnlmmhcalabijjpogicdpa [2016-02-24]
CHR Extension: (Skyrama) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlehaidnnmjjkhgbbiombcdifogolhap [2015-08-17]
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

прикладываю
Проблема с тем, что браузер куда-то стучится по своей воле - не ушла.

Очистите куки, кэш браузеров и кэш DNS ([URL="http://virusinfo.info/showthread.php?t=128635"]http://virusinfo.info/showthread.php?t=128635[/URL])

Это не помогло. Проблема остается.

Уточните пожалуйста во всех браузерах воспроизводиться проблема?

нет, только в Chrome

Приложите новый лог FRST (FRST.txt)

Новый лог

Знакома ли Вам следующее расширение:
[CODE]CHR Extension: (Donna Karan) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\fijgnliiiplghalknhobbcngpcngaoji [2016-02-29][/CODE]

- Приложите новый лог AVZ.

нет, это мне не знакомо. Откуда оно взялось у меня - без понятия)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Прикладываю лог

[QUOTE=GODolubOFF;1362632]нет, это мне не знакомо. Откуда оно взялось у меня - без понятия)
[/QUOTE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR Extension: (Donna Karan) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\fijgnliiiplghalknhobbcngpcngaoji [2016-02-29]
CMD: ipconfig /flushdns
CMD: netsh winsock reset
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Прикладываю
Проблема остается.
Когда я создаю новую вкладку в chrome (даже пустую), браузер куда-то стучится, ESET эти попытки блокирует.

В целях тестирования, закройте Chrome и переименуйте каталог профиля:

[CODE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default[/CODE]
на
[CODE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default.bak[/CODE]

запустите Chrome и сообщите, если проблема воспроизводиться.

выполнил, и в этом случае проблема исчезла, но и все рабочие вкладки и закладки тоже исчезли)

Откатите изменения, т.е. закройте Chrome, удалите:
[CODE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default[/CODE]

Переименуйте обратно:
[CODE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default.bak[/CODE]
в
[CODE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default[/CODE]
далее нужно пересмотреть список нужных расширений.

эти расширения у меня давно стояли на компе, попал видать на порно-сайт какой-то я, и что-то цепанул там на хром =:>
Это совсем недавно началось.

Покажите новые логи FRST (FRST.txt и Additional.txt)

Прикладываю свежак

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKLM-x32 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
2016-02-29 18:38 - 2014-05-11 17:13 - 00000000 ___HD C:\Windows\msdownld.tmp
CHR Extension: (Vince) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hgpdhkfmndlnlmmhcalabijjpogicdpa [2016-03-01]
CHR Extension: (MusicSig vkontakte) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-02-29]
EmptyTemp:
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Какие настройки и расширения Вам известны?
[CODE]
CHR Session Restore: Default -> is enabled.
CHR NewTab: Default -> "chrome-extension://lceefillmbhhileboicaeakgcikdocmm/index.html"
CHR Extension: (Unlimited Free VPN - Hola) - C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data\Default\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio [2016-02-19]
[/CODE]

Сами устанавливали?
[CODE]R2 DHCPServer; C:\Users\Aleksandr\Desktop\DHCPSRV\dhcpsrv.exe [110592 2015-08-17] (Uwe A. Ruttkamp) [File not signed][/CODE]

Прикладываю свежак.
Удалил только что после ребута: Unlimited Free VPN - Hola и Musicsig Vkontakte и Speed Dial 2 чтоб они больше вас не смущали, все 3 расширения ставил сам. Фри впн ставил чтобы обходить блокировку rutracker, мьюзиксиг для скачки музыки удобной с вконтакта, спид диал 2 для интерфейса в новосозданной вкладке как у оперы, давно уже им пользуюсь.
DHCPSRV сам ставил для работы

Фикснул расширение "CHR Extension: (MusicSig vkontakte)" есть подозрения, что он вызывает проблемы.
Уточните, что с проблемой?

Проблема остается.

Могли бы временно убрать настройку:
[CODE]CHR Session Restore: Default -> is enabled.[/CODE]
Очистите куки, кэш браузеров и кэш DNS ([URL="http://virusinfo.info/showthread.php?t=128635"]http://virusinfo.info/showthread.php?t=128635[/URL])

CHR Session Restore: Default -> is enabled - Отключил. Для сведения, это кажись восстановление предыдущей сессии, т.е. открытие всех вкладок которые были открыты до закрытия браузера.
Куки и всё остальное почистил как по инструкции.
Проблема все еще остается.

Могли бы пожалуйста показать скрин проблемы.

Прикладываю скрины

Смотрю только в новых вкладках указанная Вами проблема, если так, то скорее всего из-за:
[CODE]CHR NewTab: Default -> "chrome-extension://lceefillmbhhileboicaeakgcikdocmm/index.html"[/CODE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR NewTab: Default -> "chrome-extension://lceefillmbhhileboicaeakgcikdocmm/index.html"
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Новый фикслог.
Проблема пока остается.
Причем проблема не просто в новых вкладках. Если нажму на ссылку ПКМ и нажму открыть в новой вкладке, то браузер никуда не стучится на левые узлы, а вот если я создам пустую вкладку Speed Dial 3, то начинает стучаться (единожды, при каждом создании пустой вкладки)
Кстати, отключил Speed Dial 3 и проблема ушла. Но блин, проблему конкретно с расширением никак не решить? Очень привык к нему, удобно)

[QUOTE=GODolubOFF;1363291]
Кстати, отключил Speed Dial 3 и проблема ушла. Но блин, проблему конкретно с расширением никак не решить? Очень привык к нему, удобно)[/QUOTE]

Сохраните настройки расшинения Speed Dial 3, затем попробуйте, удалить данное расширение, проверить если все ок.
Далее установить его заново и проверить если проблема актуальна.

Я спид диал удалил, попробовал без него - проблемы нет. Поставил обратно - появилась проблема. Попробовал удалить хром полностью, чистил реестр (правда не совсем полностью, через regedit ну очень долго это делается), поставил хром заново, поставил расширение спид диал, проблема тут как тут, как будто я ничего и не предпринимал. Никак не могу понять, всё таки хром фигню творит какую-то или расширение.

В качестве тестировая, по пробуйте закрыть Chrome переименовать каталог данных:
[CODE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data[/CODE]
например так
[QUOTE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data.bak[/QUOTE]

Откройте chrome после этого автоматически сформируется новый каталог:
[CODE]C:\Users\Aleksandr\AppData\Local\Google\Chrome\User Data[/CODE]
Далее установите расширение Speed Dial 3 и проверьте если оно создает проблемы.