рекламные окна в браузере Google Chrome

**anega93** · 09.03.2017, 10:27

Самопроизвольные рекламные окна при щелчке мыши в Google Chrome.
Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.03.2017, 10:29

Уважаемый(ая) anega93, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 09.03.2017, 12:55

Здравствуйте!

Вам необходимо:

1. Советую удалить через "Установку и удаление программ".

Код:

Auslogics BoostSpeed
Unity Web Player

2. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mail.ru/cnt/7227
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.avira.com/?l=dis&o=APN10267&gct=hp&dc=EU&locale=ru_RU
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll

3. Выполнить следующий скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files\BonanzaDeals\BonanzaDealsUpdate.exe','');
 DeleteFile('C:\Program Files\BonanzaDeals\BonanzaDealsUpdate.exe','32');
 DeleteFileMask('C:\Program Files\BonanzaDeals', '*', true);
 DeleteDirectory('C:\Program Files\BonanzaDeals');
 ExecuteFile('schtasks.exe', '/delete /TN "BonanzaDealsUpdate" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

4. Настройки сами прописывали ?

Код:

O17 - HKLM\System\CSS\Services\Tcpip\..\{8947A4FF-B11F-440E-AED7-1885C8223F13}: NameServer = 80.78.112.130
O17 - HKLM\System\CSS\Services\Tcpip\..\{8947A4FF-B11F-440E-AED7-1885C8223F13}: NameServer = 80.78.96.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{8947A4FF-B11F-440E-AED7-1885C8223F13}: NameServer = 80.78.112.130
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{8947A4FF-B11F-440E-AED7-1885C8223F13}: NameServer = 80.78.96.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{8947A4FF-B11F-440E-AED7-1885C8223F13}: NameServer = 80.78.112.130
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{8947A4FF-B11F-440E-AED7-1885C8223F13}: NameServer = 80.78.96.1

5. Сделайте и пришлите в ответном сообщении лог AdwCleaner.

**anega93** · 09.03.2017, 13:35

Настройки с адресами сервера прописывали сами.

**Сомнение** · 09.03.2017, 15:56

Удалите все найденное AdwCleaner'ом.
Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

**anega93** · 10.03.2017, 08:00

Лог приложил.

- - - - -Добавлено - - - - -

Извигните, не тот лог приложил, этот вроде бы правильный. Реклама пока не исчезла.

**Сомнение** · 10.03.2017, 13:45

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**anega93** · 13.03.2017, 06:42

Запрошенные логи приложил

**Сомнение** · 13.03.2017, 11:06

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3154265666-3769300040-241405650-1000 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = hxxp://search.qip.ru/search?query={searchTerms}&from=IE
Toolbar: HKU\S-1-5-21-3154265666-3769300040-241405650-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
S1 adgnetworktdidrv; system32\drivers\adgnetworktdidrv.sys [X]
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Task: {657C03B1-A5C1-4A2C-8566-F96D1F5CA786} - \Auslogics\BoostSpeed\Integrator\Start On Бухгалтерия2 Logon -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [146]
AlternateDataStreams: C:\Users\Бухгалтерия2\Local Settings:wa [146]
AlternateDataStreams: C:\Users\Бухгалтерия2\AppData\Local:wa [146]
AlternateDataStreams: C:\Users\Бухгалтерия2\AppData\Local\Application Data:wa [146]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:07BF512B [146]
FirewallRules: [{FE5A1D19-E570-4980-A4F5-355625286457}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe
FirewallRules: [{0649C35C-012F-4EA9-8B2E-335A64804E17}] => (Allow) C:\Program Files\Mail.Ru\Sputnik\SputnikFlashPlayer.exe

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**anega93** · 13.03.2017, 11:43

Лог приложил, реклама по-прежнему присутствует.

**Сомнение** · 13.03.2017, 11:48

Выключите все расширения в Google Chrome и проверьте проблему.

**anega93** · 13.03.2017, 11:52

Отключил все расширения, при щелчке мыши при вводе текста в ответном сообщении Вам сразу же дважды открывается рекламное окно.

**Сомнение** · 13.03.2017, 11:56

1. Запустите AdwCleaner от имени администратора.
2. В меню выберите Tools - Options (Инструменты - Настройки) и отметьте:
- Сброс политик IE
- Сброс политик Chrome
3. Нажмите кнопку Scan (Сканировать), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
4. Прикрепите отчет вида (AdwCleaner[C0].txt) к своему ответному сообщению.

**anega93** · 13.03.2017, 12:24

Лог приложил, реклама на месте.

**Сомнение** · 13.03.2017, 12:37

Сделайте новый лог AutoLogger'a.

**anega93** · 13.03.2017, 13:05

Лог приложил.

**Сомнение** · 14.03.2017, 10:35

Очистите кэш и cookies-файлы Google Chrome.

Код:

CHR Extension: (Gismeteo) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfegaehidkkcfaikpaijcdahnpikhobf [2017-03-10]
CHR Extension: (YouTube) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-24]
CHR Extension: (Google Search) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-28]
CHR Extension: (Adobe Acrobat) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-03-07]
CHR Extension: (Kaspersky Protection) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhoibnponjcgjgcnfacekaijdbbplhib [2017-01-26]
CHR Extension: (Редактирование файлов Office) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\gbkeegbaiigmenfmjfclcdgdpimamgkj [2017-02-13]
CHR Extension: (Березовая роща) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmdkillompfgelbfadbnpcmojbnhoabh [2016-03-02]
CHR Extension: (Контур.Плагин) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\hnhppcgejeffnbnioloohhmndpmclaga [2016-02-15]
CHR Extension: (Русский переводчик) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\inpkcpkpdcfoihiacacchjadiklldmin [2015-06-09]
CHR Extension: (Adblock Super) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\knebimhcckndhiglamoabbnifdkijidd [2015-09-15]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-03-09]
CHR Extension: (Gmail) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31]
CHR Extension: (Chrome Media Router) - C:\Users\Бухгалтерия2\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-13]

Какие из этих расширений ставили сами \ Вам нужны ?

**anega93** · 14.03.2017, 12:56

Кэш почистил. Часть расширений удалил. Рекламных окон нет.
Спасибо большое!!!)

**Сомнение** · 14.03.2017, 13:08

Выполните скрипт в AVZ:

Код:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
   if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
     if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
        ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
        exit;
       end;
   end;
  if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После работы скрипта, в блокноте откроется файл avz_log.txt со ссылкам на обновление Вашей системы и критичных к безопасности программ, которые нужно загрузить и обновить в первую очередь.
Подробнее также читайте здесь - http://virusinfo.info/showthread.php?t=121902

На этом все

**anega93** · 14.03.2017, 13:43

Еще раз спасибо, выполнил все Ваши рекомендации.

рекламные окна в браузере Google Chrome (заявка № 210109)

Опции темы