Включается реклама. Сама запускает Хром.

[Samhit]

Самостоятельно открывается страница с рекламой в хроме. Переустановка не помогла. Курит нашел несколько вирусов, но проблему не решил, поэтому обращаюсь к специалистам, поскольку сам нашел только одного вируса. Дети есть дети, это страшнее мухоморов... Лог автолгега прилагаю.

[Info_bot]

Уважаемый(ая) Samhit, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

1) Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - MSConfig\startupreg:  [ClearTemp]  (2016/06/30) (no file)
O4 - MSConfig\startupreg:  [Draughts]  (2016/06/05) (no file)
O4 - MSConfig\startupreg:  [Update]  (2015/11/02) (no file)
O9 - Extra 'Tools' menuitem: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\Серж\AppData\Roaming\Mail.Ru\Agent\magent.exe (file missing)
O9 - Extra button: Mail.Ru Агент - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Users\Серж\AppData\Roaming\Mail.Ru\Agent\magent.exe (file missing)
O22 - ScheduledTask: (Disabled) пора - {root} - "F:\Музыка\09-09_Дамы, господа! Других не вижу здесь....mp3" (file missing)

2) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

3)

Код:

-[HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk"   -> ["(Internet Explorer)"  =>> hxxp://lnk.do/hX2Xr]
-[HTTP] "C:\Users\Серж\Desktop\Games\Black Desert.lnk"       -> ["(Internet Explorer)"  =>> hxxp://lnk.do/AZulf]
-[HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk"           -> ["(Internet Explorer)"  =>> hxxp://lnk.do/AZulf]
-[HTTP] "C:\Users\Public\Desktop\Star Conflict.lnk"          -> ["(Internet Explorer)"  =>> hxxp://lnk.do/Bzj9B]
-[HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk"          -> ["(Internet Explorer)"  =>> hxxp://lnk.do/Bzj9B]
-[HTTP] "C:\Users\Public\Desktop\War Thunder.lnk"  -> ["(Internet Explorer)"  =>> hxxp://lnk.do/ozIpM]
-[HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk"  -> ["(Internet Explorer)"  =>> hxxp://lnk.do/ozIpM]
-[HTTP] "C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk"      -> ["(Internet Explorer)"  =>> hxxp://lnk.do/hV4vK]
-[HTTP] "C:\Users\Серж\Desktop\Моды от Jove.lnk"   -> ["(Internet Explorer)"  =>> hxxp://goo.gl/ucKNE6]
-[HTTP] "C:\Users\Серж\Desktop\службы\Моды от Jove.lnk"      -> ["(Internet Explorer)"  =>> hxxp://goo.gl/ucKNE6]
-[HTTP] "C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Моды от Jove.lnk"      -> ["(Internet Explorer)"  =>> hxxp://goo.gl/ucKNE6]
-[HTTP] "C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Прицелы WOT.lnk"       -> ["(Internet Explorer)"  =>> hxxp://goo.gl/OI8DAF]
-[HTTP] "C:\Users\Серж\Desktop\Прицелы WOT.lnk"    -> ["(Internet Explorer)"  =>> hxxp://goo.gl/OI8DAF]

Эти ярлыки вам знакомы?

4)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Samhit]

Пофиксил. Нашел почему-то не все что вы отметили.
На вирус-детектор архив отправил.
Ярлыки знакомы частично, но в основном мои. Но на компе не только я, еще и дети (хуже войны).
Лог adwcleaner прилагаю.

[regist]

На вирус-детектор архив отправил.

ссылка на отчёт, где?

Правильно понимаю не знакомы эти?

Код:

C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
C:\Users\Серж\Desktop\Games\Black Desert.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
C:\Users\Public\Desktop\Star Conflict.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
C:\Users\Public\Desktop\War Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk

тогда исправьте

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

Код:

C:\ProgramData\Microsoft\Windows\Start Menu\Aliexpress.lnk
C:\Users\Серж\Desktop\Games\Black Desert.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert.lnk
C:\Users\Public\Desktop\Star Conflict.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Star Conflict.lnk
C:\Users\Public\Desktop\War Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\War Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Новости.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Wars Battlefront II\Star Wars Battlefront II.lnk
C:\Users\Администратор\Desktop\Star Wars Battlefront II.lnk
C:\Users\Гость\Desktop\Star Wars Battlefront II.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Wars Battlefront II\Деинсталлировать игру.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\Uninstall RaidCall.lnk
C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
E:\Новая война танков\game_manual.url
C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
E:\Новая война танков\website.url
C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
E:\Новая война танков\wiki.url
C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk
E:\Новая война танков\readme.url
C:\Users\Серж\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk

Программы/расширения от Mail.ru используете?

[Samhit]

Ссылка на результат кибердетектора - http://virusinfo.info/virusdetector/...0707F859312BE9
"Звездный конфликт" и "Вар тюндер" это мои. Остальное от чумы.
От мейла только "Армата", все остальное считаю вирусом.
Отчет клинера прилагаю

[regist]

Опишите проблему подробней. У вас после включения, даже если ничего не трогать сам запускается Хром? Или реклама вылазит уже после его открытия или как?

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Samhit]

У вас после включения, даже если ничего не трогать сам запускается Хром?

Да, даже если выключен модем, то запускается хром с криком "нет подключения к интернету".
Лог uvs не могу выложить - форум пишет превышен лимит вложений. И что могу сделать, если кнопки "удалить" на старых вложениях просто нету?

[regist]

закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, , File.Karelia)

[Samhit]

http://www108.zippyshare.com/v/6NEFnhKj/file.html ссылка на файлообненник.

[regist]

Не обратил внимание сразу, у вас древняя версия Автологера, поэтому и не видно заразы. Скачайте актуальную версию и переделайте логи.

- - - - -Добавлено - - - - -

Выполните скрипт в uVS

Код:

;uVS v4.0b10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref JURNAL-ONLY.NET/STECHSM
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ULTIMATE-DISCOUNTER BROWSER.LNK
delref %SystemDrive%\USERS\СЕРЖ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CKCMDPMHIEKIIHMFJFFDEHHBHGLLPAPG\2.25_0\ULTIMATE DISCOUNTER
delref %SystemDrive%\USERS\СЕРЖ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM\1.250_0\«ВИЗУАЛЬНЫЕ ЗАКЛАДКИ» ОТ MAIL.RU
delref %SystemDrive%\USERS\СЕРЖ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PLDBIENODKPGKCCOCELIDINMCIEDJDOK\1.0.1_0\ДОМАШНЯЯ СТРАНИЦА – MAIL.RU
apply

czoo
restart

[Samhit]

Скрипт выполнил.
Вот новые логи

[regist]

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.


Сделайте свежий лог AdwCleaner-а.

[Samhit]

Вот логи. Я не разобралдся.

[regist]

- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Внимательно перечитайте.

+

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Samhit]

Новые логи, надеюсь сделал как надо.
Реклама сейчас стала запускаться намного реже, примерно раз в сутки и то не всегда. Значит большая часть заразы все же удалилась.

[regist]

Ещё раз повторю [quote="regist;1445688"]- Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите./quote]

[Samhit]

Перетащил. Создался текст. Вот он. Надеюсь оно.

[regist]

Почему вы упорно прикрепляете лог Check_Browsers_LNK, когда вас просят лог работы утилиты ClearLNK. Даже жирным в предыдущий раз выделил.
Какие проблемы остались?

[Samhit]

Почему вы упорно прикрепляете лог Check_Browsers_LNK,

Да потому что эта утилита так и называется. Сейчас попытался загрузить на клинер с вашей ссылки, но наткнулся на вашу фразу. Извиняюсь, если ошибся, но я чсто-то не допонял.
Прога спрашивает то же самое, что и вы.

Почему вы упорно прикрепляете лог Check_Browsers_LNK,

Тут я запутался.
----------------

Какие проблемы остались?

На данный момент рекламу от вулкана не наблюдаю. Это уже большое спасибо.
-------------------------------
Поимел супостата, вот лог, надеюсь тот, что нужен.