"Обновление" Гугл Хром

[vtr]

Здравствуйте! В браузере загрузилась вкладка, после открытия сохраненной копии в поиске Гугл, на которой находилась страница Гугл сообщающая о загрузке обязательных обновлений и несколько сервисных окон браузера с предложением об отклонении или согласии на их установку - выбрал закрыть вкладку. При повторном открытии сохраненной копии (предварительно очистив все данные в браузере) на предыдущей вкладке загрузилась страница поиска Гугл с дополнительным кодом в адресной строке, при этом предложения "обновиться" не появилось, что дополнительно может означать внесение каких-то вредоносных изменений, по сколько в ином случае предложение "обновиться" должно было появиться по новой. Сканирование Norton IS ничего не обнаружило. Вредоносной странице антивирус присвоил статус "подозрительной" и обнаружил на ней прямые ссылки на потенциально вредоносный ресурс yourjavascript.com/5123133466/jquery-migrate-min-g4.js, который содержит Trojan.JS.SetPage и Trojan.Gen.2.
Прошу проверить, чтобы исключить внесение вредоносных изменений.

[Info_bot]

Уважаемый(ая) vtr, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 ExecuteRepair(1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


- Сделайте лог Check Browsers' LNK by Dragokas & regist.

- Подготовьте лог AdwCleaner и приложите его в теме.

[vtr]

Что-то нашлось?

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[vtr]

Удалил все, что нашлось. Если я правильно понял, это были просто остатки программ.
По моему основному вопросу есть какая-нибудь информация?

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[vtr]

прикрепил

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  HKU\S-1-5-21-842925246-1229272821-839522115-1003\...\Policies\Explorer: [] 
  Toolbar: HKU\S-1-5-21-842925246-1229272821-839522115-1003 -> No Name - {468CD8A9-7C25-45FA-969E-3D925C689DC4} -  No File
  U1 WS2IFSL; no ImagePath
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A [136]
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC [136]
  AlternateDataStreams: C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1 [112]
  HKU\S-1-5-21-842925246-1229272821-839522115-1003\Software\Classes\.scr: scrfile =>  <===== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Пробуйте отключить все расширения начинающие на "Google *" в браузере Chrome.

[vtr]

Лог прикрепил. Про отключение расширений не до конца понял. У меня все расширения, кроме "Norton Security Toolbar" и так были отключены да и проблемы с отключением расширений вроде бы нет.

[SQ]

Сообщите, что с проблемой?

[vtr]

Здравствуйте! В браузере загрузилась вкладка, после открытия сохраненной копии в поиске Гугл, на которой находилась страница Гугл сообщающая о загрузке обязательных обновлений и несколько сервисных окон браузера с предложением об отклонении или согласии на их установку - выбрал закрыть вкладку. При повторном открытии сохраненной копии (предварительно очистив все данные в браузере) на предыдущей вкладке загрузилась страница поиска Гугл с дополнительным кодом в адресной строке, при этом предложения "обновиться" не появилось, что дополнительно может означать внесение каких-то вредоносных изменений, по сколько в ином случае предложение "обновиться" должно было появиться по новой. Сканирование Norton IS ничего не обнаружило. Вредоносной странице антивирус присвоил статус "подозрительной" и обнаружил на ней прямые ссылки на потенциально вредоносный ресурс yourjavascript.com/5123133466/jquery-migrate-min-g4.js, который содержит Trojan.JS.SetPage и Trojan.Gen.2.
Прошу проверить, чтобы исключить внесение вредоносных изменений.

Учитывая мое первое сообщение, вкладка со страницей обновления открывалась только один раз, при открытии вероятно зараженной кэшированной страницы в поиске Гугл, в дальнейшем при открытии этой же страницы на соседней вкладке вместо страницы с обновлением загружалась главная страница Гугла, при открытии других сайтов проблем никаких не было, соответственно как проверить решена проблема или нет?
Также я просил проверить наличие или отсутствие внесения вредоносных изменений, из -за открытия вероятно зараженной страницы. Как я понял ничего плохого не нашлось, значит проблема решена.

[SQ]

Сделайте лог полного сканирования МВАМ

[vtr]

прикрепил

[SQ]

Ничего плохого не видно. На этом всё! Удачи Вам!

[vtr]

Спасибо! Но похоже проблема не совсем решена...Посмотрел внутри браузера и нашел подозрительные элементы. Допустим в названии расширения Нортон появилась запись chrome-extension://mkfokfffehpeedafpekjeddnmnjhmcmk/_generated_background_page.html , а в теле подобные записи "chrome-extension://mkfokfffehpeedafpekjeddnmnjhmcmk/background.js" и chrome-extension://mkfokfffehpeedafpekjeddnmnjhmcmk/coNaCl.nmf
или же если посмотреть chrome://appcache-internals
C:\Documents and Settings\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Storage\ext\gfdkimpbcpahaombhbimeihdjnejgicl\def (0)
что это может быть?

[SQ]

Спасибо! Но похоже проблема не совсем решена...Посмотрел внутри браузера и нашел подозрительные элементы. Допустим в названии расширения Нортон появилась запись chrome-extension://mkfokfffehpeedafpekjeddnmnjhmcmk/_generated_background_page.html

Это расширение Norton Security Toolbar:

Код:

CHR Extension: (Norton Security Toolbar) - C:\Documents and Settings\Алексей\Local Settings\Application Data\Google\Chrome\User Data\Profile 1\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk [2016-11-07]

Если предполагаете подмену оф. расширения Norton то удалите его.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.