Самооткрывающаяся страница с казино в браузере и прочие банеры

[regist]

скачайте отсюда Оперу и проверьте проблему в ней.


Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Marina Komarova]

Какая-то совсем мистическая история получается. Пару часов назад, прочитав совет попробовать opera-usb, стала искать флешку для чистоты эксперимента. две флешки криво читались и комп временно подвис. Перегрузилась. И пока не наблюдают проблему. Ни в Хроме, ни в новой опере. Ещё раз перегрузилась. Пока проблемы нет. По времени вирь работает что ли???? Или с волнообразной активностью как некоторые человеческие вирусы? Наверное логи фарбара при активном процессе имеет смысл делать?

- - - - -Добавлено - - - - -

логи farbar... сделала хоть проблема и не ожила на сей момент ( мож сам сдох вирь?)

[regist]

Код:

FireFox:
========
FF ProfilePath: C:\Documents and Settings\Marina Komarova.MARINA\Application Data\Mozilla\Firefox\Profiles\es6dJkFJ.default
FF Plugin: @nitropdf.com/NitroPDF -> C:\Program Files\Nitro\Reader 3\npnitromozilla.dll [2013-07-26] (Nitro PDF)
FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.27.5\npGoogleUpdate3.dll [2015-05-29] (Google Inc.)
FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.27.5\npGoogleUpdate3.dll [2015-05-29] (Google Inc.)
FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll [2014-05-08] (Adobe Systems Inc.)
FF Extension: Avira Browser Safety - C:\Documents and Settings\Marina Komarova.MARINA\Application Data\Mozilla\Firefox\Profiles\es6dJkFJ.default\Extensions\[email protected] [2015-05-22]
FF Extension: TSearch - C:\Documents and Settings\Marina Komarova.MARINA\Application Data\Mozilla\Firefox\Profiles\es6dJkFJ.default\Extensions\{6E727987-C8EA-44DA-8749-310C0FBE3C3E} [2015-06-29]
FF Extension: Яндекс.Бар - C:\Documents and Settings\Marina Komarova.MARINA\Application Data\Mozilla\Firefox\Profiles\es6dJkFJ.default\Extensions\[email protected] [2015-07-15]

Chrome: 
=======
CHR Profile: C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default
CHR Extension: (Google Docs) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-05-27]
CHR Extension: (Chrome Hotword Shared Module) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-27]
CHR Extension: (Google Drive) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-05-27]
CHR Extension: (Gmail) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-05-27]
CHR Extension: (Google Search) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-05-27]
CHR Extension: (YouTube) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-05-27]
CHR Extension: (Avira Browser Safety) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2015-05-27]
CHR Extension: (Google Sheets) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-05-27]
CHR Extension: (Google Slides) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-05-27]
CHR Extension: (Google Wallet) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-05-27]
CHR Extension: (Visual Bookmarks) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamkignanh [2015-06-25]
CHR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-06-29]
CHR Extension: (No Name) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\faajihnmbfdjebpkhngdjlflookcjbpd [2015-06-29]
CHR Extension: (PromCodes) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pcedcainfpmibhlcppehljkpejdcpjjn [2015-06-29]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx

Opera: 
=======
OPR Extension: (Универсальный перевод для Chrome) - C:\Documents and Settings\Marina Komarova.MARINA\Application Data\Opera Software\Opera Stable\Extensions\gdalhedleemkkdjddjgfjmcnbpejpapp [2015-06-29]
OPR Extension: (PromCodes) - C:\Documents and Settings\Marina Komarova.MARINA\Application Data\Opera Software\Opera Stable\Extensions\pcedcainfpmibhlcppehljkpejdcpjjn [2015-06-29]

из этих расширений сами, что устанавливали?

- - - - -Добавлено - - - - -

прочитав совет попробовать opera-usb, стала искать флешку для чистоты эксперимента. две флешки

это обычная портативная Опера. Для её использования совсем не обязательна флешка.

Malwarebytes Anti-Malware - деинсталируйте.

Амиго - также рекомендую деинсталировать.

Яндекс.Бар 5.0 для Internet Explorer - если не используете, тоже.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-823518204-113007714-842925246-1003] ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKU\S-1-5-21-823518204-113007714-842925246-1003 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} -  No File
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKU\S-1-5-21-823518204-113007714-842925246-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://spacesearch.ru/?ri=1&rsid=a7fe8cd0bcc61117778ee66dbd7e1f09&q={searchTerms}
SearchScopes: HKU\S-1-5-21-823518204-113007714-842925246-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = http://spacesearch.ru/?ri=1&rsid=a7fe8cd0bcc61117778ee66dbd7e1f09&q=
CHR Extension: (PromCodes) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pcedcainfpmibhlcppehljkpejdcpjjn [2015-06-29]
OPR Extension: (PromCodes) - C:\Documents and Settings\Marina Komarova.MARINA\Application Data\Opera Software\Opera Stable\Extensions\pcedcainfpmibhlcppehljkpejdcpjjn [2015-06-29]
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

И наблюдайте за проблемой.
Если снова проявится, то попробуйте отключить/удалить

Универсальный перевод для Chrome

и отпишитесь о результатах.

[Marina Komarova]

Прежде чем буду выполнять какие-либо действия -- продолжаю делиться наблюдениями. Проблема не стабильная! 15 июня вечером часа два-три сидела в Интернете, активно провоцировала вирус, но он молчал.
16 июня -- за комп попала ближе к ночи. Внчале проблем не было совсем. Потом в какой-то момент стали новые страницы по единичному клику открываться. Попозже и прочие глюки вернулись -- разворот картинок и всплывающий баннер. Не поняла, связано ли это наступлением новых суток или просто так легло. Зато могу теперь сказать однозначно: в портативной опере этих проблем нет. Прямо одинаковые сайты открывала, в одинаковые места мышкой кликала и разный результат наблюдала ( в Хроме кривости, в opera-usb --нет).

Вопрос про расширения для браузеров. Специально расширения не устанавливаю. Периодически в суете, когда что-то ставлю, забываю галочки некоторые убрать ( а что-то сомнительное по чьим-то просьбам скачиваю и ставлю нередко). Яндекс-бар, поставившийся намедни -- из этого числа.
Единственное, что я себе целенаправленно сделала, так это визуальные закладки в Хром ( и то, они были «свыше» предложены; решила взять, так работе больше похоже на старую Оперу, которую я очень любила)
CHR Extension: (Visual Bookmarks) - C:\Documents and Settings\Marina Komarova.MARINA\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\pchfckkccldkbclgdepkaonamk ignanh [2015-06-25]

- - - - -Добавлено - - - - -

Пофиксила. См. лог. Проблема, увы, жива. Универсальный перевод для Хрома ещё не удаляла. Как доберусь -- отпишу.

[regist]

так это визуальные закладки в Хром ( и то, они были «свыше» предложены; решила взять, так работе больше похоже на старую Оперу, которую я очень любила)

а что тогда мешает пользоваться ей? Я до сих пор пользуюсь её и из неё пишу вам. Кстати, эта Опера USB также на старом движке Оперы.

Универсальный перевод для Хрома ещё не удаляла. Как доберусь -- отпишу.

ок, жду.

[Marina Komarova]

а что тогда мешает пользоваться ей? Я до сих пор пользуюсь её и из неё пишу вам. Кстати, эта Опера USB также на старом движке Оперы.

Мешало только то, что я про неё не знала. Или, скажем так, не сильно искала. Прошлая старая версия Оперы у меня отказывала постепенно, а потом и винда опаганилась до невозможного ( от вируса и от старости -- 5 лет она жила без переустановки). Переставляла кривовато в каком-то безумном сумбуре и спешке, хотела форматнуть диск С, но не сложилось. И остатки старого софта теперь зазря место занимают. И подозреваю, могут теперь мешать извести заразу. Теперь-то видимо пересяду на мобильную оперу, а Хром оставлю для отдельных случаев.
Универсальный перевод убила ( в списке программ нет, просто удалила по пути в логе выше). Это расширение появилось в момент появления моего вируса. Очень наделялась, что поможет. Но увы. Редирект остался.

- - - - -Добавлено - - - - -

А после перезагрузки --тишь да гладь. Вирус сдох или просто к вечеру стих -- не знаю. Убивала ( а точнее переписала в другую папку) несколько файлов java-script, отвечающих за якобы универсальный перевод; насколько для их активности перезагрузка важна -- не знаю. Думала достаточно обновить страницы будет, чтоб понять, изменилось что-то или нет.
А на компьютере, между прочим, остались ещё файлы возникшие или модифицировавшиеся в тот же злосчастный час, что и появились глюки. Среди них пару файлов скайпа (один exe) и чего-то с флеш (oxc). Скайп иногда подвисает при выключении PC, а на хром иногда ругается на флеш-плеер. БОльшой соблазн переставить, чтоб не думалось, хоть и virustotal говорит, что они хорошие.

[regist]

Универсальный перевод убила ( в списке программ нет, просто удалила по пути в логе выше).

надо было удалять через управление расширениями.

Хром возможно действительно лучше переставить.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[Marina Komarova]

1) файлы из сомнительной папки с "универсальным переводом" я себе в другое место переписала, если что -- и оживить можно. сЕЙЧАС по-людски из управления расширениями удалила.
2) Хром пока не переставила.
3) Скрипт про уязвимости таковые нашёл.

- - - - -Добавлено - - - - -

Вот и следующий день настал -- всё чисто, проблемы не возвращаются. Похоже, это чудо случилось -- победили заразу. Ура! Спасибо огромное! То, что обновить часть софта надо, -- поняла.

[regist]

На этом всё.
Удачи .

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены