ad.admitad одолел

[modz]

при переходи по ссылки в браузере Хром, где возможно выдача кредитных карт (личный кабинет Тинькоф, личный кабинет банк открытия, личный кабинет банки.ру), вместо окна авторизации предлагают кредитную карту этого же банка! В режиме инкогнито работает все безупречно. В любом другом браузере, также работает все хорошо.
У меня есть учетная запись гугла. Я с ей авторизуюсь в разных местах в Хроме. И везде вылезает реклама. Эта реклама ни всплывающее окно, а именно реклама от этого же банка. Это ни фишинг, также любой сайт начинается с https и естественно есть сертификат. Когда рекламы нет, пишут УВЫ, ССЫЛКА, ПО КОТОРОЙ ВЫ ПЕРЕШЛИ НЕ РАБОТАЕТ и переадресация на https://ad.admitad.com/dummy/?w=541539&c=17208&r=3

[Info_bot]

Уважаемый(ая) modz, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [script][MASK] "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yаndех.lnk"     -> ["C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\browser.bat"] -> start "" /I /B /D "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\" "c:\users\user\appdata\local\yandex\YANDEX~1\APPLIC~1\browser.exe" -- hxxp://searchnikismi.ru (cp: 20127) (MD5:4547DD088A7B94FA2D93D21B444479CC)
>>> [MASK][h][s] "C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk"   -> ["C:\Users\User\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.exe"  =>> hxxp://displaybutton.ru/?utm_source=startlink03]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office\activator.exe.lnk"       -> ["C:\Program Files (x86)\Microsoft Office\activator.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\Viber.lnk"          -> ["C:\Users\User\AppData\Local\Viber\Viber.exe"  =>> ShareFiles]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Защитники Азгарда\Защитники Азгарда.lnk"  -> ["C:\Program Files (x86)\Защитники Азгарда\azgardefence.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Утилиты\MultiBoot USB.lnk"      -> ["C:\Program Files\MultiBoot USB\Menu.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flashtool\Uninstall Flashtool.lnk"   -> ["C:\Flashtool\uninstall.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flashtool\Flashtool.lnk"   -> ["C:\Flashtool\FlashTool.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flashtool\Flashtool64.lnk"           -> ["C:\Flashtool\FlashTool64.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O2-32 - HKLM\..\BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^SPDriverInstall.lnk [backup] => C:\Program Files\MediaTek\SP Driver\SPDriverInstall (2018/08/08) (file missing)
O4 - MSConfig\startupreg: AlterGeoUpdater [command] = C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe (HKCU) (2017/07/10) (file missing)
O4 - MSConfig\startupreg: MAgent [command] = C:\Users\User\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU (HKCU) (2017/07/10) (file missing)
O4 - MSConfig\startupreg: PLFFAP [command] = C:\Windows\system32\HotFixQ0306270.exe (HKLM) (2018/08/08) (file missing)
O4 - MSConfig\startupreg: iCloudServices [command] = C:\Program Files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe (HKCU) (2017/07/10) (file missing)

Удалите программы:
Html5 geolocation provider
Update for Html5 geolocation provider
Аудио и видео скачивание

В AdwCleaner всё найденное чистили, давно?

Отключите все расширения в Хроме.
Очистите куки и кэш для всех сайтов и проверьте проблему.

[modz]

Здравствуйте! Сделал все кроме удаления Аудио и видео скачивание. Оно не удаляется
AdwCleaner чистил перед тем как создать тему
Проблема пока ушла. Но перед тем как создать тему я полностью удалял Хром (в т.ч. в Program Data, AppData и т.д.) Проблема также уходила, но дня через 3 опять появилась. С чем может быть связано появления вновь этой проблемы?
Из всех манипуляция я думаю помогла чистка кэша и куков, но этого я делать не люблю, т.к. очень много работы в браузере. Также есть еще аналогичные проблемы на др.компьютерах, на которых включена синхронизация уч.записи Хром. Как туда этот вирус мог попасть?
Что делать если проблема опять появится через несколько дней?

[Vvvyg]

Надо проверять расширения, многие грешат рекламой. Отключать все, кроме самых проверенных и следить.
Если есть синхронизация учётной записи Chrome, расширения вернутся после входа в учётку.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).