В GOOGLE CHROME всплывают окна сами по себе с рекламой [Trojan.Win32.SelfDel.gdem ]

**Drec** · 10.12.2017, 11:15

Собственно помогите! Чистил планировщик, проходил программами dr web, и Malwarebytes AdwCleaner 7.0.5.0
Но они все равно всплывают при нажатии например на ссылки в youtube
Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.12.2017, 11:17

Уважаемый(ая) Drec, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 13.12.2017, 07:08

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BA7C3FD67-8A77-4248-9AE8-A2C9E301ADFD%7D&gp=855500
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BA7C3FD67-8A77-4248-9AE8-A2C9E301ADFD%7D&gp=855500 (URL)
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://suggests.go.mail.ru/ie8?q={searchTerms} (SuggestionsURL)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 195.98.64.65
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 195.98.64.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 82.202.226.203
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDA90F86-B02C-4374-A3BA-F1E636C407E4}: NameServer = 195.98.64.65
O17 - HKLM\System\CCS\Services\Tcpip\..\{DDA90F86-B02C-4374-A3BA-F1E636C407E4}: NameServer = 195.98.64.66
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 195.98.64.65
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 195.98.64.66
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{6C7B231A-CAD6-4695-8425-D0571595008D}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDA90F86-B02C-4374-A3BA-F1E636C407E4}: NameServer = 195.98.64.65
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{DDA90F86-B02C-4374-A3BA-F1E636C407E4}: NameServer = 195.98.64.66

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
 DeleteFile('C:\Windows\microsoft\svchost.exe', '32');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteRepair(23);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

**Drec** · 16.12.2017, 21:15

все сделал

**Vvvyg** · 17.12.2017, 13:49

Запустите повторно Malwarebytes AdwCleaner (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C2].txt, прикрепите к своему следующему сообщению.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

Если не поможет - отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.

**Drec** · 17.12.2017, 15:10

я переустановил браузер и все прошло!

**CyberHelper** · 17.12.2017, 15:20

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.gdem