Реклама в браузере

[regist]

Код:

CHR Extension: (Duolingo в сети) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiahmijlpehemcpleichkcokhegllfjl [2016-04-20]
CHR Extension: (Nordic Forest) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\amekpplpfocpmaimnmgfjoibodpjedie [2016-04-20]
CHR Extension: (Диск Google) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-04-20]
CHR Extension: (YouTube) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-04-20]
CHR Extension: (Adblock Plus) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-04-20]
CHR Extension: (Google*Документы офлайн) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-04-20]
CHR Extension: (LinguaLeo English Translator) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nglbhlefjhcjockellmeclkcijildjhi [2016-04-20]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-20]
CHR Extension: (Browsec VPN - Privacy and Security Online) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2016-04-20]
CHR Extension: (Gmail) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-04-20]
CHR HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-05-22]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-05-22]

эти расширения вам знакомы?

- - - - -Добавлено - - - - -

Код:

Java(TM) 6 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216045FF}) (Version: 6.0.450 - Oracle)

деинсталируйте.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
HKLM\...\StartupApproved\Run32: => "gmsd_ru_005010133"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\StartupFolder: => "OrbitumUpdate.lnk"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\...\StartupApproved\Run: => "gocoupon"
URLSearchHook: [S-1-5-21-1380935137-2005365065-2398988406-1001] ATTENTION => Default URLSearchHook is missing
URLSearchHook: [S-1-5-21-1380935137-2005365065-2398988406-1002] ATTENTION => Default URLSearchHook is missing
SearchScopes: HKU\S-1-5-21-1380935137-2005365065-2398988406-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = 
SearchScopes: HKU\S-1-5-21-1380935137-2005365065-2398988406-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://www.google.ru/webhp?tab=ww&ei=-2jXU7y6CMqI4gTy74G4BA&ved=0CBUQ1S4","hxxp://winyagd.ru/","hxxp://megatrack.org/","hxxp://cinema.megatrack/","hxxp://mail.ru/cnt/10445?gp=openpart5","hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://www.mystartsearch.com/?type=hp&ts=1446412918&z=26a03158fa1506a8131143bg9zfzcq3z1gdqeo7c5g&from=cmi&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDB06636","hxxp://www.yoursites123.com/?type=hp&ts=1450082892&z=8c3480ce7633160be12bd51g5z5wde3e6beq6z8w7b&from=wpm07173&uid=ST1000LM024XHN-M101MBB_S2SMJ9BDB06636","hxxp://www.yoursearching.com/?type=hp&ts=1456165774&z=f600622aeb91d87fb8939adg8zfw3qegaq0w5mfmez&from=exp1&uid=st1000lm024xhn-m101mbb_s2smj9bdb06636"
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Rangnat Plain]

Screenshot_ggg1.png Не узнаю этого.

[regist]

Не узнаю этого.

это легал https://chrome.google.com/webstore/d...mpkclmigmmcbeh

- Сделайте лог полного сканирования MBAM.

[Rangnat Plain]

Что-то там совсем не так, как написано в теме, нет пунктов выбора, чего сканировать. И имя пришлось самостоятельно вбивать при сохранении.

[regist]

Удалите в MBAM всё кроме

Код:

Hijack.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CONTROLSET001\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, 0http://stop-block.org/wpad.dat?ccbdcb1d78e5aa1780a0d2282b70c2a66596785, , [c17d674b0e8bff37c01f00a74fb553ad]
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1380935137-2005365065-2398988406-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AutoConfigUrl, http://stop-block.org/wpad.dat?ccbdcb1d78e5aa1780a0d2282b70c2a66596785, , [64daeec49cfd1b1b113a198ae02445bb]

проверьте проблему.

[Rangnat Plain]

Т.е. удалить эти файлы через эту же программу?

[regist]

да.

[Rangnat Plain]

Удалил, перезагрузил, при заходе на сайт все равно была реклама, но эта же программа оповестила, что заблокировала как рекламу. Увы, не успел скриншот сделать.

[regist]

Судя по тому логу, что вы прикрепили вы ничего не удалили.

[Rangnat Plain]

Прошу прощения, очень криво прочитал.

[regist]

что сейчас с проблемой?

[Rangnat Plain]

Осталась проблема. Просто открываю из браузера через поисковик нужные сайты через колесико, открывается новая вкладка и во время прогрузки просто подменяется сайт. Без возможности "вернуться" на нужный мне, чисто подмена.

[regist]

скачайте отсюда Оперу и проверьте проблему в ней.

[Rangnat Plain]

Проблему не заметил. Жалуется на "сертификат сервера не соответствует имени узла" со ссылками на сайты, как окно-предупреждение, но заменяющий рекламы нет.

[regist]

В проблемном браузере

Отключите все расширения в браузере и проверяйте проблему.

[Rangnat Plain]

Кажется, это все же расширения. За два часа перед отключением всех расширений я удалил в адблоке какую-то версию, которая была помечена как старая и необновляемая, но я как-то не особо углядел, может это и ее вина. Спасибо)

[regist]

папку C:\FRST удалите.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены