Произвольное открытие окон в Google Chrome с рекламой

**webdesigner** · 16.02.2017, 10:33

Здравствуйте!
Недавно скачал какой-то дистрибутив в который видимо был вшит вирус. Установился пакет Amigo. Его вроде вычистил, но стал произвольно сам запускаться Google Chrome с рекламой казино. Просканировал через mbam он нашел 7 вирусов, перезагрузил компьютер, но все равно реклама с казино продолжает открываться. Помогите удалить остатки вируса.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.02.2017, 10:34

Уважаемый(ая) webdesigner, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Sandor** · 16.02.2017, 14:50

Здравствуйте!

Дополнительно подготовьте и прикрепите лог сканирования AdwCleaner.

**webdesigner** · 16.02.2017, 18:46

AdwCleaner нашел остатки вируса. Отчет прикрепляю.

- - - - -Добавлено - - - - -

добавил лог после удаления и перезагрузки [C0].

- - - - -Добавлено - - - - -

Повторное сканирование в AdwCleaner обнаружила зараженные пути в

Найдена настройка Chromium: [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/7993/
Найдена настройка Chromium: [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.delta-homes.com/?type=hp&ts=1427788543&from=wpm033131&uid=39504998 3_6295328_88870CEB

. См. прикрепленные логи [C2] и [S1].
Попробую ещё раз просканировать и логи выложить.

- - - - -Добавлено - - - - -

В общем повторное сканирование выдаёт точно такой же результат - 2 зараженных реестра [-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default] [startup_urls] Удалено: hxxp://mail.ru/cnt/7993/
[-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default] [startup_urls] Удалено: hxxp://www.delta-homes.com/?type=hp&ts=1427788543&from=wpm033131&uid=39504998 3_6295328_88870CEB. И никак не удаляются.

При следующем сканировании добавилось:

[-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Удалено: delta-homes
[-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Удалено: rambler.ru
[-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Удалено: daemon-search.com
[-] [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Удалено: search.delta-homes.com

см. логи [S3] и [C4]

**Sandor** · 16.02.2017, 20:37

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**webdesigner** · 16.02.2017, 21:56

Выполнил. Логи прикреплены.

**Sandor** · 17.02.2017, 10:04

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код:

start
CreateRestorePoint:
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKU\S-1-5-21-4083559137-3281347466-3438832533-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://www.yandex.ru/?clid=1122717","hxxp://mail.ru/cnt/7993/","hxxp://www.google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1427788543&from=wpm033131&uid=395049983_6295328_88870CEB","hxxp://www.google.com"
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**webdesigner** · 17.02.2017, 12:02

Выполнил. Лог прикрепляю. Сбросились настройки Google Chrome.

**Sandor** · 17.02.2017, 12:12

Что с основной проблемой?

**webdesigner** · 17.02.2017, 12:55

Проблема исчезла. Реклама с казино больше не вылазит. Правда adwCleaner по-прежнему находит эти строки:
Найдена настройка Chromium: [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/7993/
Найдена настройка Chromium: [C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.delta-homes.com/?type=hp&ts=1427788543&from=wpm033131&uid=39504998 3_6295328_88870CEB

**Sandor** · 17.02.2017, 13:04

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

**webdesigner** · 17.02.2017, 14:37

Отключил все расширения - всё-равно adwCleaner находит эти строки.

**Sandor** · 17.02.2017, 15:06

Сделайте Сброс настроек браузера Chrome.

Не поможет, сохраните нужные закладки и удалите браузер (желательно с зачисткой, например, через Revo Uninstall). Скачайте и установите заново.

Произвольное открытие окон в Google Chrome с рекламой (заявка № 209422)

Опции темы