Множество вирусов после 2 скрипта avz [HEUR:Trojan.WinLNK.StartPage.gena ]

[Mr.S]

Здравствуйте.
Подхватил вирусы, запустив загруженный из интернета exe файл. Установились mail.ru/yandex все, что можно.
Удалил руками все, что было видно из программ, в хроме сбросил настройки, удалил лишнее из файла Host. Скачал mbam, сделал им полное сканирование и удалил, что он смог найти. Оставалась только 1 видимая проблема - при запуске хрома, стартовой страницей была serchesl-clip.ru с перенаправлением на какой-то рекламный сайт, похожая проблема всплывала на другом форуме.

Решил обратится к вам за помощью, скачал последний avz с офф. сайта(у меня планшет с win10 х32). На автомате пропустил 1 пункт диагностики и запустил сразу 2й...
И тут началось - во время работы скрипта №2 вылезло с десяток вирусов, все начало устанавливаться и т.д., установленный аваст только часть блокировал...
От безысходности, снова прошелся по порядку с первого пункта, еще больше установилось неизвестно чего (только аваст раз 5 выдавал блокировку вируса).

Уже сомневаюсь, что все это смогу вычистить, т.к. пока создаю тему, беспрерывно лезут установки и запуски всего подряд. Чувствую, придется переустанавливать win. Не ожидал такого от "сканирования" avz. Но тему создам, раз логи собраны...

[Info_bot]

Уважаемый(ая) Mr.S, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\070131aa-1457012093-e411-b2a0-6cfaa7279818\jnsk3198.tmp');
 TerminateProcessByName('c:\program files\070131aa-1457012093-e411-b2a0-6cfaa7279818\knsk2.tmpfs');
 TerminateProcessByName('c:\users\ludmila\appdata\local\temp\78275\mailruhomesearch.exe');
 StopService('cynisugizbt');
 StopService('dojygici');
 QuarantineFileF('c:\users\ludmila\appdata\local\hostinstaller', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files\070131aa-1457012093-e411-b2a0-6cfaa7279818\jnsk3198.tmp', '');
 QuarantineFile('c:\program files\070131aa-1457012093-e411-b2a0-6cfaa7279818\knsk2.tmpfs', '');
 QuarantineFile('c:\users\ludmila\appdata\local\temp\78275\mailruhomesearch.exe', '');
 QuarantineFile('C:\Users\Ludmila\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '');
 QuarantineFile('C:\Users\Ludmila\AppData\Local\Hostinstaller\1423979410_installcube.exe', '');
 DeleteFile('c:\program files\070131aa-1457012093-e411-b2a0-6cfaa7279818\jnsk3198.tmp', '32');
 DeleteFile('c:\program files\070131aa-1457012093-e411-b2a0-6cfaa7279818\knsk2.tmpfs', '32');
 DeleteFile('c:\users\ludmila\appdata\local\temp\78275\mailruhomesearch.exe', '32');
 DeleteFile('C:\Users\Ludmila\AppData\Local\Mail.Ru\Sputnik\ptls\mailruhomesearch.exe', '32');
 DeleteFile('C:\Users\Ludmila\AppData\Local\Hostinstaller\1423979410_installcube.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteService('cynisugizbt');
 DeleteService('dojygici');
 DeleteFileMask('c:\users\ludmila\appdata\local\hostinstaller', '*', true);
 DeleteDirectory('c:\users\ludmila\appdata\local\hostinstaller');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'mailruhomesearch');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Программы от Mail.ru сами ставили?

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

- - - - -Добавлено - - - - -

И Iobit если используете, то советую деинсталировать.
А также деинсталируйте aspackage

[Mr.S]

0303.jpg
Все эти программы я не устанавливал

Перечислю все, что заметил:
При открытии браузера, открывается новая вкладка istartpageing.com
Пока открыт браузер, может появится запрос от windows выбрать приложение, чем открыть "что-то" (предлагает выбрать хром). Выбрав хром - открывается сайт, с которого перенаправляет на страницу с принудительной загрузкой "hd video player"
Как минимум ассоциации файлов mp3 и pdf могут быть нарушены, об этом сообщила win10..., просто не уверен, что не нарушена работа чего-то еще в системе.

В этот раз скрипт №2 сработал спокойно. Все логи прикрепил.

Ссылка на Результаты проверки карантина онлайн-сервисом VirusDetector
virusinfo.info/virusdetector/report.php?md5=084BE4035E26BA27E7CFF3B4D1B38B10

Файл quarantine.zip прислал

Программы/расширения/начальные страницы/поисковик и прочий мусор от mail.ru/yandex я не ставил.

От Iobit у меня установлены Advanced SystemCare и IObit Uninstaller, пользуюсь ими уже пару лет на нескольких пк. Можно поинтересоваться, в чем причина совета удалить их?
aspackage - это видимо Advanced SystemCare

[regist]

От Iobit у меня установлены Advanced SystemCare и IObit Uninstaller, пользуюсь ими уже пару лет на нескольких пк. Можно поинтересоваться, в чем причина совета удалить их?

Довольно сомнительная полезность их для системы, особенно от Advanced SystemCare.
А также продукты Iobit бывают устанавливаются без спроса пользователя.

- - - - -Добавлено - - - - -

aspackage - это видимо Advanced SystemCare

нет к нему отношение не имеет. Это отдельная адварная программа https://www.virustotal.com/ru/file/7...07e0/analysis/

Указанные вами программы попробуйте сначала деинсталировать сами через панель управления. Потом

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\spacesoundpro\spacesoundpro.exe');
 TerminateProcessByName('c:\programdata\ewdme\wdman.exe');
 StopService('WdMan');
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\ewdme', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files\spacesoundpro\spacesoundpro.exe', '');
 QuarantineFile('c:\programdata\ewdme\wdman.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.dll', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe', '');
 DeleteFile('c:\program files\spacesoundpro\spacesoundpro.exe', '32');
 DeleteFile('c:\programdata\ewdme\wdman.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.dll', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe', '32');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteService('WdMan');
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\programdata\ewdme', '*', true);
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\programdata\ewdme');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'IDSCPRODUCT');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis

Код:

F2 - REG:system.ini: UserInit=wscript C:\Windows\run.vbs,

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

- сделайте лог Check Browsers' LNK by Dragokas & regist.

сделайте лог HiJackThis 2.0.6 Alfa 1.5 l

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
• Прикрепите отчет к своему следующему сообщению.

[Mr.S]

Довольно сомнительная полезность их для системы, особенно от Advanced SystemCare.
А также продукты Iobit бывают устанавливаются без спроса пользователя.

Согласен. Установка без спроса, разовая реклама своих продуктов и навязывание других своих продуктов при установке одного (нужно снимать галки) - имеется. Но это тот максимум, который можно принять, если функционал у них работает на должном уровне.

- - - - -Добавлено - - - - -

Программы удалил. В хроме сбросил настройки на стандартные и удалил расширения/поисковики.

В файле host удалил:

Код:

127.0.0.1       down.baidu2016.com
127.0.0.1       123.sogou.com
127.0.0.1       www.czzsyzgm.com
127.0.0.1       www.czzsyzxl.com

Файл quarantine.zip прислал.

Профиксите в HijackThis

Код:

F2 - REG:system.ini: UserInit=wscript C:\Windows\run.vbs,

Этого уже нет.

Все логи прикрепил.

[regist]

если функционал у них работает на должном уровне.

нахождение злобных вирусов в относительно безвредных файлах, но при этом не замечать реальных вирусов. Про сомнительную пользу от оптимизаторов думаю и так понятно.

- - - - -Добавлено - - - - -

VOPackage - деинсталируйте.

В файле host удалил:

делали до создания логов или после? В логах по прежнему эти записи видно.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk', '');
 QuarantineFile('C:\Users\Ludmila\AppData\Local\Microsoft\Windows\Application Shortcuts\Chrome\Яндекс.lnk', '');
 QuarantineFile('C:\Users\Ludmila\AppData\Local\Microsoft\Windows\Application Shortcuts\Chrome\Яндекс.Почта.lnk', '');
 QuarantineFile('C:\Users\Ludmila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk', '');
 QuarantineFile('C:\Users\Ludmila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', '');
 QuarantineFile('C:\ProgramData\DXNmQZOTc\GEOpZmpT3.bat', '');
 QuarantineFileF('C:\ProgramData\DXNmQZOTc', '*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\DXNmQZOTc\GEOpZmpT3.bat', '');
 DeleteFileMask('C:\ProgramData\DXNmQZOTc', '*', true);
 DeleteDirectory('C:\ProgramData\DXNmQZOTc');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


Профиксите в HiJackThis 2.0.6 Alfa 1.5

Код:

O4 - MSConfig..HKLM: /0/0 [Timestasks]  (no file)
O4 - MSConfig..HKLM: /0/0 [ZaxarGameBrowser]  (no file)
O4 - MSConfig..HKLM: /0/0 [ZaxarLoader]  (no file)

+ те строки из Hosts которые сами не добавляли.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


Сделайте свежий лог HiJackThis 2.0.6 Alfa 1.5.

[Mr.S]

VOPackage - у меня его нет.

В прошлый раз действительно удалил лишнее из файла hosts, увидев это в собранных логах.. а вот новые логи не сделал

Файл quarantine.zip прислал.

Лог удаления AdwCleaner и HiJackThis 2.0.6 Alfa 1.5 прикрепил.

[regist]

Сделайте свежий лог AdwCleaner-а.

что с проблемой?

[Mr.S]

Проблем не наблюдается.

Adwcleaner лог прикрепил.
Там что-то связанное с хромом осталось..

[regist]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Mr.S]

Порядок моих действий:
Просканировал AdwCleaner -> нашло 2 проблемы -> удалил, автоматически перезагрузился -> просканировал, пусто -> запустил хром, закрыл -> просканировал, снова нашло те же 2 проблемы.

Лог удаления и сканирования, после запуска хрома прикрепил.

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

- - - - -Добавлено - - - - -

Довольно сомнительная полезность их для системы, особенно от Advanced SystemCare.
А также продукты Iobit бывают устанавливаются без спроса пользователя.

Вот и свежий пример самопроизвольной установки

Скачивал архив прошивки для телефона, но при открытии не обратил внимания что файл EXE, и по не осторожности запустил. Установилось несколько новых программ: ZaxarGameBrowser, IObit Uninstaller, Advanced SystemCare 8, Вконтакте, Amig

[Mr.S]

Не слышал ранее о вирусном распространении программ от iobit. Печально.
Я использую IObit Uninstaller, т.к. он подчищает хвосты после удаления, ASC - чистить реестр/ярлыки/удалять ненужные файлы/иногда "turbo" режим для игр на стареньком ноутбуке.
Удобный дизайн и простота в комплекте с эффективностью склонили к использованию.
Пока не наткнулся на более эффективную+быструю+удобную альтернативу. А пару лет назад перепробовал не мало...

Отчеты FRST прикрепил.

[regist]

Код:

Unity Web Player (HKU\S-1-5-21-1856490639-752314651-3726453770-1001\...\UnityWebPlayer) (Version: 5.0.3f2 - Unity Technologies ApS)

сами ставили? Если нет, то деинсталируйте.

Код:

C:\ProgramData\UpService\UpService.exe

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-1856490639-752314651-3726453770-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B92D08F92-1097-4A95-84CA-097D206FC395%7D&gp=820484
Edge HomeButtonPage: HKU\S-1-5-21-1856490639-752314651-3726453770-1001 -> hxxp://www.yandex.ru/?win=218&clid=2256027
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://mail.ru/cnt/10445?gp=820326","hxxp://mail.ru/cnt/10445?gp=811021","hxxp://www.yoursearching.com/?type=hp&ts=1456429348&z=07b1f88eddcadd97e11b0ebgcz3w3q3zaoft8cfoam&from=free&uid=3219913727_198264_54E03392","hxxp://mail.ru/cnt/10445?gp=820474","hxxp://www.istartpageing.com/?type=hp&ts=1457013303&z=5880155b9d1c48542df8e06g9zbwem1eeg7c5o4mcc&from=cmi&uid=3219913727_198264_54E03392"
CHR HKLM\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1856490639-752314651-3726453770-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1856490639-752314651-3726453770-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1856490639-752314651-3726453770-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
2016-03-01 14:28 - 2016-03-01 14:28 - 00000000 ____D C:\ProgramData\XGwPbz
2016-03-01 14:28 - 2016-03-01 14:28 - 00000000 ____D C:\ProgramData\qeyhOnxrcf
2016-03-01 14:27 - 2016-03-01 14:27 - 00000000 ____D C:\ProgramData\wCclzTok
2016-03-01 14:27 - 2016-03-01 14:27 - 00000000 ____D C:\ProgramData\iyQPiDa
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Mr.S]

Появилась маленькая доп. проблемка.
Прежде, чем увидел в скрипте эти строки:

Код:

2016-03-01 14:28 - 2016-03-01 14:28 - 00000000 ____D C:\ProgramData\XGwPbz
2016-03-01 14:28 - 2016-03-01 14:28 - 00000000 ____D C:\ProgramData\qeyhOnxrcf
2016-03-01 14:27 - 2016-03-01 14:27 - 00000000 ____D C:\ProgramData\wCclzTok
2016-03-01 14:27 - 2016-03-01 14:27 - 00000000 ____D C:\ProgramData\iyQPiDa

Лазил по programdata и увидел эти папки, внутри файлы по 1кб и 1 батник. Просмотрел 3 батника (что они делают не разобрал), на 4 тачскрин меня подвел и батник (ProgramData\iyQPiDa) запустился. Успел ли я его закрыть, не знаю, но после этого заархивировал все 4 и перешел к фиксу FRST.
И только потом увидел об удалении этих папок и забеспокоился. Архив с папками под паролем залил через "Прислать запрошенный карантин" вверху темы.

Лог FRST прикрепил.

p.s. adwcleaner по прежнему находит 2 проблемы с хромом

[regist]

Просмотрел 3 батника (что они делают не разобрал),

если опустить подробности обсфукации, то запуск браузера с вирусной страничкой.

Свежие логи FRST сделайте.

[Mr.S]

Свежие логи FRST

[regist]

C:\ProgramData\UpService\UpService.exe

в карантине его не вижу. Пришлите заново.

- - - - -Добавлено - - - - -

По Хрому у вас опять yoursearching.com сайт в StartupUrls прописался. Попробуйте его удалить вручную, получиться?
Если нет или он опять вернётся, то наверно лучше сделать полный сброс настроек Хрома.

[Mr.S]

Код:

Unity Web Player (HKU\S-1-5-21-1856490639-752314651-3726453770-1001\...\UnityWebPlayer) (Version: 5.0.3f2 - Unity Technologies ApS)

сами ставили? Если нет, то деинсталируйте.

Код:

C:\ProgramData\UpService\UpService.exe

Заархивируйте в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.

Вчера спешил и забыл дописать, что этого у меня нет.

Настройки хрома я уже сбрасывал и сбросил еще раз - не помогает. В самом хроме их не наблюдается..