При открытии google chrome помимо ранее открытых вкладок всегда открывается рекламный сайт http://mmorpgfree.ru/binatex2/?p=klimenko-1601

[Santantiya]

Здравствуйте!

При открытии google chrome помимо ранее открытых вкладок открывается вкладка http://mmorpgfree.ru/binatex2/?p=klimenko-1601.
Появилась эта ерунда после скачивания фильма с торрента. Чистила все при помощи Malwarebytes Anti-Malware, при помощи HitmanPro, удаляла в свойствах ярлыка браузера адрес левого сайта в графе "Объект", вручную удаляла некоторые программы. Некоторые проблемы устранила, но эта реклама "как я заработал на..." появляется постоянно при открытии chrome.
Файл с логами прикрепляю.

Прошу помочь удалить этот рекламный сайт.

[Info_bot]

Уважаемый(ая) Santantiya, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Santantiya]

Прошу прощения, открывается не только указанный мною рекламный сайт. Сайты меняются. Теперь открывается https://start.parimatch-sport4.com/r...=a_7270b_684c_ при открытии хрома.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32');
 DeleteFile('C:\Users\User\AppData\Local\Kometa\StartButton\kometastartvx64.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','StartButton');
 DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\{7FCF67BF-E1A7-4BF9-A310-02DED67D42E7}','64');
 DeleteFile('C:\Users\User\AppData\Roaming\ASPackage\Uninstall.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[Santantiya]

Файл "карантин.зип" не загружается. Пишет "Результат загрузки - Ошибка загрузки. Данный файл уже был загружен". Сам файл весит 1 кб, внутри, насколько я поняла, он пустой. Принтскрин окна ДО этой ошибки прилагаю. Все скрипты в AVZ выполнила по инструкции, проблем не было.

Отчет о работе ClearLNK прикрепляю.

Логи прикрепляю.

Еще заметила, что в файле 'hosts' по адресу C:\WINDOWS\System32\drivers\etc ниже вот этой вот строки (которая должна быть последней в этом файле) -

# ::1 localhost


находится вот такая ерунда, которую никак не удалить (у меня Windows 8.1) -



0.0.0.1 mssplus.mcafee.com127.0.0.1 na1r.services.adobe.com
127.0.0.1 hlrcv.stage.adobe.com
127.0.0.1 lmlicenses.wip4.adobe.com
127.0.0.1 lm.licenses.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com

127.0.0.1 down.baidu2016.com

127.0.0.1 123.sogou.com

127.0.0.1 www.czzsyzgm.com

127.0.0.1 www.czzsyzxl.com

127.0.0.1 union.baidu2019.com


Я пыталась удалить все это вручную, но файл hosts после удаления этой гадости уже сохраняется в формате .txt, а не в том формате, в каком он был раньше. Никаких изменений после таких манипуляций не происходит.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Santantiya]

Файлы в архиве прилагаю.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKU\S-1-5-21-1399967934-1739383925-2826505168-1001\...\Run: [AdobeBridge] => [X]
GroupPolicy: Restriction - Chrome <======= ATTENTION
HKU\S-1-5-21-1399967934-1739383925-2826505168-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://zverogu.ru/?utm_source=startpage03wmt&utm_content=8ef138be463e8718ff026321d12d6632&utm_term=E433F6D000F7CD5CAE3D2153EC620514&utm_d=20160922
FF Homepage: Mozilla\Firefox\Profiles\0je33lgo.default -> hxxp://zverogu.ru/?utm_source=startpage03wmt&utm_content=8ef138be463e8718ff026321d12d6632&utm_term=E433F6D000F7CD5CAE3D2153EC620514&utm_d=20160922
CHR StartupUrls: ChromeDefaultData -> "hxxp://zverogu.ru/?utm_source=startpage03wmt&utm_content=8ef138be463e8718ff026321d12d6632&utm_term=E433F6D000F7CD5CAE3D2153EC620514&utm_d=20160922"
CHR Profile: C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-01-28] <==== ATTENTION
2017-01-26 16:42 - 2017-01-27 23:33 - 00000000 ____D C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Кнопка Пуск — Комета
2017-01-26 16:18 - 2017-01-26 16:43 - 00000000 ____D C:\Users\User\AppData\Roaming\urlopener
2017-01-26 16:14 - 2017-01-26 17:39 - 00000000 ____D C:\Users\User\AppData\Roaming\PBot
2017-01-26 16:12 - 2017-01-26 16:12 - 00000000 ____D C:\Users\User\AppData\Local\Войны престолов
2017-01-26 16:08 - 2017-01-27 16:47 - 00000000 ____D C:\Users\User\AppData\Roaming\MediaPlayerApplication2
2016-09-23 01:49 - 2016-09-23 01:49 - 15206472 _____ (IObit                                                       ) C:\Users\User\AppData\Local\Temp\3AFE.tmp.exe
2016-10-04 23:29 - 2016-10-04 23:29 - 0354024 _____ (Mail.Ru) C:\Users\User\AppData\Local\Temp\AmigoDistrib.exe
2017-01-26 16:05 - 2017-01-26 16:05 - 1929083 ____N () C:\Users\User\AppData\Local\Temp\Cy3uxkHJBvWo.exe
2016-10-04 23:02 - 2016-10-04 23:02 - 0074599 _____ () C:\Users\User\AppData\Local\Temp\ext_2.exe
2016-10-20 20:26 - 2016-10-20 20:26 - 2458672 _____ (The OpenSSL Project, http://www.openssl.org/) C:\Users\User\AppData\Local\Temp\libeay32.dll
2016-09-23 01:50 - 2016-09-23 12:11 - 4157656 _____ (Mail.Ru) C:\Users\User\AppData\Local\Temp\MailRuUpdater.exe
2016-10-20 20:26 - 2016-10-20 20:26 - 0970912 _____ (Microsoft Corporation) C:\Users\User\AppData\Local\Temp\msvcr120.dll
2017-01-26 16:14 - 2017-01-26 16:14 - 3852399 ____N () C:\Users\User\AppData\Local\Temp\p5VPUs48Jqsu.exe
2016-10-20 20:26 - 2016-10-20 20:26 - 0772672 _____ () C:\Users\User\AppData\Local\Temp\sqlite3.dll
2016-09-22 23:10 - 2016-09-22 23:10 - 0354024 ____N (Mail.Ru) C:\Users\User\AppData\Local\Temp\uCCEwdOpnJSH.exe
2016-08-14 18:02 - 2016-08-12 14:08 - 0104043 _____ () C:\Users\User\AppData\Local\Temp\Uninstall.exe
2016-09-23 01:42 - 2016-09-23 01:42 - 0354024 ____N (Mail.Ru) C:\Users\User\AppData\Local\Temp\vanEGHgivWNg.exe
2017-01-26 16:18 - 2017-01-26 16:18 - 4624925 ____N () C:\Users\User\AppData\Local\Temp\YV6f8g0iP3WW.exe
2017-01-26 16:05 - 2017-01-26 16:05 - 0275820 _____ () C:\Users\User\AppData\Local\Temp\ZCXHGd.dll
Task: {C5377233-D06B-4701-9579-7051653583E0} - \SearchAY -> No File <==== ATTENTION
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> No File <==== ATTENTION
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> No File <==== ATTENTION
Task: {AD109609-D904-4D89-A76B-25DAC5504C4E} - System32\Tasks\KMPFaster => C:\Program Files (x86)\MyGoya\KMPFaster\KMPFaster.exe <==== ATTENTION
Task: {B07E9366-DA5B-41EA-A810-3A3F2AACAF79} - \{7FCF67BF-E1A7-4BF9-A310-02DED67D42E7} -> No File <==== ATTENTION
Task: {5ACBA034-3EA4-4493-B611-B3DE2AF38535} - System32\Tasks\KMPFaster (Tray) => C:\Program Files (x86)\MyGoya\KMPFaster\ServiceProvider.exe <==== ATTENTION
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> No File <==== ATTENTION
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> No File <==== ATTENTION
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> No File <==== ATTENTION
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Santantiya]

У меня пропали все закладки, все пароли стерлись. Теперь открывается только рекламный сайт при открытии любого браузера (каждый раз новый).

Можно ли как-то восстановить удаленные закладки??

Файл прикрепляю.

[thyrex]

Найдите в карантине FRST папку C:\Users\User\AppData\Local\Google\Chrome\User Data\ChromeDefaultData и восстановите

Интернет через роутер?

[Santantiya]

Не очень поняла, как восстановить папку. В файле FRST.txt найти такой путь? или в Fixlog.txt? И какие именно действия нужны, чтобы восстановить эту папку?

Да, интернет через роутер.

[thyrex]

Найдите на диске С папку с карантином FRST и попробуйте оттуда восстановить свою потерянную информацию

[Santantiya]

А рекламный сайт, получается, никак не удалить?

[thyrex]

Сделайте аппаратный сброс настроек роутера, введите правильные настройки.
Смените парооль к настройкам роутера на более сложный.
Очистите куки и кэш браузеров, перезагрузите компьютер.

Проверьте проблему

[Santantiya]

Ничего не помогло. В итоге пришлось делать откат системы. После восстановления системы рекламные сайты перестали открываться.