Вирус открывает вкладки с рекламой (в Google Chrome)

Добрый день.
Вирус (или что то другое) открывает вкладки с рекламой/порно/и т.д.
Происходит это за частую при переходе по нужным мне (надежным) ссылкам, либо при клике на любой точке сайта/почты и т.д.

Уважаемый(ая) [B]VDLEE[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скажите, а какой карантин просит загрузить кликабельное сообщение красным цветом?
Вроде по инструкции то что надо прикрепил

Удалите программу [B]BlueStacks[/B] штатными средствами Windows.

[b]Временно отключите [url=https://virusinfo.info/showthread.php?t=130828]защитное ПО[/url][/b].

Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\TNOD\TNODUP.exe','');
DelCLSID('{89820200-ECBD-11cf-8B85-00AA005B4340}');
DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
DeleteFile('C:\Users\Вячеслав\Favorites\Links\Интернет.url','32');
DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\8GadgetPack\Website.lnk','32');
DeleteFile('C:\Users\Вячеслав\Desktop\Tools\Обновить лицензию NOD32.lnkl','32');
DeleteFile('C:\TNOD\TNODUP.exe','32');
DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.speedsoftware.rootexplorer.lnk','32'); DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000008\Launcher.vbs','32');
DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.kingroot.kinguser.lnk','32');
DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000012\Launcher.vbs','32');
DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.facebook.katana.lnk','32');
DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000015\Launcher.vbs','32');
DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.shield.inf.lnk','32');
DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000002\Launcher.vbs','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.
[/code]
Пришлите архив карантина из папки AVZ.

Сделайте новые логи программой [url=https://virusinfo.info/content.php?r=136-pravila]Autologger[/url] и пришлите их.

Сделайте лог утилитой [url=https://virusinfo.info/showthread.php?t=146192]AdwCleaner[/url] и пришлите его.

Есть кто смог бы помочь моему "горю"?:furious3:

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Неужели никого нет?:O
Вложение просмотрено два раза, но никакого ответа, народ, подсобите с проблемой.

Уважаемый(ая) [b]VDLEE[/b], в разделе "Помогите" просмотр заявок осуществляется произвольно и зависит от степени загруженности консультантов. Просьба проявить терпение или использовать платный приоритетный раздел "Помогите +".

Рекомендации по теме представлены выше.

Сделано. отчеты прилагаю:

1. Удалите программу [B]PCCleaner Pro[/B] штатными средствами Windows.

2. Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл [b]Check_Browsers_LNK.log[/b] из последних логов на ClearLNK как показано на рисунке
[url=http://dragokas.com/tools/move.gif][img]http://dragokas.com/tools/move.gif[/img][/url]
* Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

3. Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/img]

PCCleaner Pro не найден в списке "Программы и компоненты"

Остальные логи прилагаю:

1. Пофиксите в [url=https://virusinfo.info/showthread.php?t=4491]HiJackThis[/url].
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis
[code]
O4 - HKCU\..\StartupApproved\Run: [BlueStacks Agent] (2016/05/27)C:\Program Files\BlueStacks\HD-Agent.exe (file missing)
O22 - Task (Ready): PCCleaner-Maintenance-Autorun - C:\ProgramData\PCCleaner Pro\PCCleaners.exe /minimize (file missing)
[/code]

2. Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
DeleteFile('C:\Program Files\BlueStacks\HD-Agent.exe','64');
DeleteFileMask('C:\Program Files\BlueStacks','*',true);
DeleteDirectory('C:\Program Files\BlueStacks');
DeleteFile('C:\ProgramData\PCCleaner Pro\PCCleaners.exe','64');
DeleteFileMask('C:\ProgramData\PCCleaner Pro','*',true);
DeleteDirectory('C:\ProgramData\PCCleaner Pro');
ExecuteFile('schtasks.exe', '/delete /TN "PCCleaner-Maintenance-Autorun" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
end.
[/code]
Перезагрузите компьютер вручную.

3. [list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\Run: [BlueStacks Agent] => C:\Program Files\BlueStacks\HD-Agent.exe
HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\Run: [AdobeBridge] => [X]
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
FF HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\SeaMonkey\Extensions: [[email protected]] - C:\Users\Вячеслав\AppData\Roaming\IDM\idmmzcc5
FF Extension: (IDM CC) - C:\Users\Вячеслав\AppData\Roaming\IDM\idmmzcc5 [2017-04-26] [not signed]
CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
R2 Net Driver HPZ12; C:\Windows\system32\HPZinw12.dll [45568 2014-11-17] (Hewlett-Packard) [File not signed]
R2 Pml Driver HPZ12; C:\Windows\system32\HPZipm12.dll [55808 2014-11-17] (Hewlett-Packard) [File not signed]
S3 SwitchBoard; C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) [File not signed]
S3 WsDrvInst; C:\Program Files\Wondershare\MirrorGo\DriverInstall.exe [X]
S3 ute3mjk3; C:\Windows\system32\Drivers\ute3mjk3.sys [7168 2017-04-26] () [File not signed]
S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X]
S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
2017-04-21 13:20 - 2017-04-21 17:49 - 00000000 ____D C:\Users\Все пользователи\PCProSettingsLocal
2017-04-21 13:20 - 2017-04-21 17:49 - 00000000 ____D C:\ProgramData\PCProSettingsLocal
2017-04-25 10:21 - 2016-05-27 13:29 - 00000000 ____D C:\Users\Все пользователи\BlueStacksSetup
2017-04-25 10:21 - 2016-05-27 13:29 - 00000000 ____D C:\ProgramData\BlueStacksSetup
2017-04-25 10:22 - 2017-04-25 10:22 - 0061440 _____ () C:\Users\Вячеслав\AppData\Local\Temp\56n-8nmz.dll
2017-04-26 09:34 - 2017-03-03 22:38 - 0897560 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-Common.dll
2017-04-26 09:34 - 2017-03-03 22:39 - 0516120 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-InstallerUtils.dll
2017-04-26 09:34 - 2017-03-03 22:29 - 0187416 _____ (BlueStack Systems) C:\Users\Вячеслав\AppData\Local\Temp\HD-LibraryHandler.dll
2017-04-26 09:34 - 2017-03-03 22:27 - 0246808 _____ (BlueStack Systems) C:\Users\Вячеслав\AppData\Local\Temp\HD-Logger-Native.dll
2017-04-26 09:34 - 2017-03-03 22:38 - 0426008 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-Uninstaller.exe
2017-04-25 10:22 - 2017-04-25 10:22 - 0061440 _____ () C:\Users\Вячеслав\AppData\Local\Temp\mdvkqxum.dll
C:\Windows\explorer.exe => File is digitally signed
C:\Windows\system32\winlogon.exe => File is digitally signed
C:\Windows\system32\wininit.exe => File is digitally signed
C:\Windows\system32\svchost.exe => File is digitally signed
C:\Windows\system32\services.exe => File is digitally signed
C:\Windows\system32\User32.dll => File is digitally signed
C:\Windows\system32\userinit.exe => File is digitally signed
C:\Windows\system32\rpcss.dll => File is digitally signed
C:\Windows\system32\dnsapi.dll => File is digitally signed
C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed
HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\StartupApproved\Run: => "BlueStacks Agent"
FirewallRules: [{0CFC5FF7-091E-40EB-A7ED-92CD26D7E57E}] => (Allow) C:\ProgramData\BlueStacksGameManager\OBS\HD-OBS.exe
FirewallRules: [{42EDF09A-E54C-419C-86AC-E9FBE1340DF7}] => (Allow) C:\ProgramData\BlueStacksGameManager\OBS\HD-OBS.exe
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

[QUOTE]1. Пофиксите в [url=https://virusinfo.info/showthread.php?t=4491]HiJackThis[/url].
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis[/QUOTE]
Выполнено, за исключением:
[code]
O22 - Task (Ready): PCCleaner-Maintenance-Autorun - C:\ProgramData\PCCleaner Pro\PCCleaners.exe /minimize (file missing)
[/code]
Это не найдено (скрин в приложении)

============
[QUOTE]2. Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
Перезагрузите компьютер вручную.[/QUOTE]
Выполнено

[QUOTE]3. [list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:[*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list][/QUOTE]
Выполнено, лог в приложении

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Извините за оффтоп, но хотел бы узнать причину задержки появления сообщений с Вашей стороны. Вчера вы (судя по времени сообщения) ответили мне в 14:00, хотя я до вечера (до 18:00 точно) мониторил данную тему, но сообщения Вашего не увидел. Может есть необходимость закрывать сайт и заходить заново?
Заранее спасибо за ответ

К сожалению проблема все еще осталась

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Уважаемые помощники, все понимаю, загруженность, личная жизнь, и т.п. но 4 дня на проблемку..., даже я, будучи чайником считаю что слишком много. в соседних темах аналогичные проблемы (судя по описанию) решаются в 1-2 дня. Премного благодарен за внимание к данному сообщению.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Поведение вируса изменилось, теперь он не открывает новые вкладки, а переходит на сайты с рекламой на текущей вкладке.:O

Новый лог FRST.txt сделайте

Сделано, отчет прилагаю

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ко всему прочему заметил среди процессов немалое количество svchost файлов (около 14 шт). Скрин прилагаю
Так же заметил минимум 3 процесса COM Surrogate, из которых остается только 1 после открытия диспетчера задач. Заскринить все таки успел, прилагаю.
не знаю связано ли это с моей основной проблемой, с которой я обратился к Вам. но все же.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Из личных наблюдений - реклама запускается каждые 20 минут (судя по истории браузера)

[quote="VDLEE;1447212"]Ко всему прочему заметил среди процессов немалое количество svchost файлов (около 14 шт)[/quote]Количество таких процессов зависит от числа служб, для работы которых он необходим.

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.

Добрый день
Отключил расширения, и как ни странно. проблема исчезла, НО любопытства ради включил все расширения снова, и проблемы так же нет
Из всего что есть в расширениях:
-Foxit PDF Creator 8.2.0.2
-Google Презентации 0.9
-Google Таблицы 1.1
-Google Документы Офлайн 1.4
-IDM Integration Module 6.28.7
-Документы Google

А нет, проблема осталась:O
Вновь отключил все расширения, жду. о результатах наблюдения сообщу через 1-1,5 часа

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

с отключенными расширениями проблемы нету.

Спасибо всем за помощь. не нужные расширения удалил.:clapping:

Скорее всего дело было в каком-то из подмененных расширений от Google

[QUOTE=thyrex;1447529]Скорее всего дело было в каком-то из подмененных расширений от Google[/QUOTE]
Скорее всего.
На последок хотел спросить - видел в какой то теме, в разделе "Помогите" описание программы, которая при сканировании выявляет устаревшие или нуждающиеся в обновлении приложения, и даже вроде дает ссылку на них. Может знаете о чем идет речь и подскажете?

[LIST][*]Загрузите [URL="http://tools.s a f e z o n e.cc/glax24/SecurityCheck/SecurityCheck.exe"]SecurityCheck by glax24[/URL] (в ссылке на скачивание уберите лишние пробелы) и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][B]Скопируйте[/B] содержимое файла в свое следующее сообщение.[/LIST]

[QUOTE=thyrex;1447565]
[LIST][*]Загрузите [URL="http://tools.s a f e z o n e.cc/glax24/SecurityCheck/SecurityCheck.exe"]SecurityCheck by glax24[/URL] (в ссылке на скачивание уберите лишние пробелы) и сохраните утилиту на [I]Рабочем столе[/I][*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола[/U] относительно программы SecurityCheck, не блокируйте ее работу.[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B];[*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR=Blue]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*][B]Скопируйте[/B] содержимое файла в свое следующее сообщение.[/LIST]
[/QUOTE]
Готово

[QUOTE]------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась [color=red][b]Внимание! [url=https://www.microsoft.com/ru-ru/software-download/windows10]Скачать обновления[/url][/b][/color]
Internet Explorer 11.633.10586.0 [color=red][b]Внимание! Скачать обновления[/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color]
Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.00 (32-разрядная) v.5.00.0 [color=red][b]Внимание! [url=http://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color]
Ghostscript GPL 8.64 (Msi Setup) v.8.64 [color=red][b]Внимание! [url=https://ghostscript.com/download/gsdnld.html]Скачать обновления[/url][/b][/color]
Microsoft Silverlight v.5.1.41212.0 [color=red][b]Внимание! [url=https://www.microsoft.com/getsilverlight/Get-Started/Install/Default.aspx]Скачать обновления[/url][/b][/color]
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 45 v.7.0.450 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html]Java SE 8[/url] (jre-8u131-windows-i586.exe)[/b].
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.22.0.0.153 [color=red][b]Внимание! [url=https://get.adobe.com/ru/air/]Скачать обновления[/url][/b][/color]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.57.0.2987.133 [color=red][b]Внимание! [url=https://www.google.ru/chrome/browser/desktop/index.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Google Chrome!^[/b][/color][/QUOTE]выполните рекомендованное

[QUOTE=thyrex;1447648]выполните рекомендованное[/QUOTE]

Обновления выполнены, премного благодарен за помощь и время!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]