Всплывающая реклама в chrome, сторонняя поисковая система.
Всплывающая реклама в chrome, сторонняя поисковая система.
Уважаемый(ая) Виктор Троян, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте !!!
отключите антивирусную программу
Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
После перезагрузки выполните скрипт:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Users\Александр\appdata\roaming\closer.exe',''); QuarantineFile('C:\Users\Александр\appdata\local\fupdate\fupdate.exe',''); QuarantineFile('C:\WINDOWS\syswow64\searchprotectservice.exe',''); QuarantineFile('C:\WINDOWS\system32\searchprotectservice.exe',''); DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32'); DeleteFile('C:\Users\8523~1\AppData\Local\Temp\TasksWatch.exe','32'); DeleteFile('C:\Program Files (x86)\Mobogenie\DaemonProcess.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\hostskidki\config.json','32'); DeleteFile('C:\Users\Александр\AppData\Local\hostskidki\stub.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Users\Александр\AppData\Local\29944\a8667.exe','32'); DeleteFile('C:\WINDOWS\system32\Tasks\AmiUpdXp','64'); DeleteFile('C:\WINDOWS\system32\Tasks\fupdate','64'); DeleteFile('C:\WINDOWS\system32\searchprotectservice.exe','32'); DeleteFile('C:\WINDOWS\syswow64\searchprotectservice.exe','32'); DeleteFile('C:\Users\Александр\appdata\local\fupdate\fupdate.exe','32'); DeleteFile('C:\Users\Александр\appdata\roaming\closer.exe','32'); DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}'); DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}'); DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hostskidki','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SwitchBoard','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TasksWatch','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser','command'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(4); RebootWindows(true); end.
Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантинКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log )
+
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven/10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
+
Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
- - - - -Добавлено - - - - -Код:begin ClearQuarantine; DeleteFile('C:\Users\Александр\appdata\local\fupdate\fupdate.exe','32'); DeleteFile('C:\Users\Александр\appdata\roaming\closer.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hbkweqlwvo'); RebootWindows(true); end.
После выполнения скрипта AVZ, проделайте:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
До сих пор реклама в chrome открывается. И при попытки поиска в google либо через поле для ссылок идет переадресация на http://searche-engine.ru/?ref=aoy67&...2%D0%B0&subId= и открывается mail.ru
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: GroupPolicy: Restriction - Chrome <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-1428400448-3060654219-1515300953-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-1428400448-3060654219-1515300953-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013 FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B555FD495-50B8-4C11-B3E1-A63803150A4E%7D&gp=811014 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-09-24] FF Extension: (Поиск@Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-09-24] FF Extension: (Спутник @Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2013-03-03] [not signed] FF Extension: (.) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{4e38134d-ba98-4066-b898-e296d8acc938}.xpi [2014-03-19] [not signed] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2016-09-24] FF Extension: (Shopping Suggestion) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{D394D188-BAC7-4e03-8FAF-389A4D7EC6F4}.xpi [2014-03-19] [not signed] FF Extension: (superpromokody) - C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{D723D90A-8E67-11E3-81AA-43CE6088709B}.xpi [2014-02-06] [not signed] FF Extension: (No Name) - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha291\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta92\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha998\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2248\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2612\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home134\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5391\ff [not found] FF SearchPlugin: C:\Users\Александр\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2016-09-24] FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha291\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta92\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha998\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2248\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha2612\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home134\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode5391\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\RichMediaViewV1\RichMediaViewV1release2085\ff => not found FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\TrustMediaViewerV1\TrustMediaViewerV1alpha5734\ff => not found CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\gcswf32.dll => No File CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\pdf.dll => No File CHR Plugin: (Chrome NaCl) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\ppGoogleNaClPluginChrome.dll => No File CHR Plugin: (Google Gears 0.5.33.0) - C:\Program Files (x86)\Google\Chrome\Application\53.0.2785.143\gears.dll => No File CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.57\npGoogleUpdate3.dll => No File CHR Extension: (Adblock Plus) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-09-13] CHR Extension: (Adblock Plus) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2015-11-17] CHR Extension: (Norton Security Toolbar) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk [2015-11-16] CHR HKU\S-1-5-21-1428400448-3060654219-1515300953-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [noebaifjopccondbkcieccphcpijhdne] - C:\Users\Александр\AppData\Local\CRE\noebaifjopccondbkcieccphcpijhdne.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [noebaifjopccondbkcieccphcpijhdne] - C:\Users\Александр\AppData\Local\CRE\noebaifjopccondbkcieccphcpijhdne.crx <not found> OPR Extension: (superpromokody) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\jgnblgknonceobjdkepgodbolcpkgipk [2014-04-08] Task: {0B7A0EB5-2B90-4F83-AFA8-6A437CD42367} - \syslog -> No File <==== ATTENTION Task: {10FF35A7-46EF-4E29-895F-FF164A03F0E2} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {135D82F3-5D9D-440E-B1D5-1D362FB2B5F2} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {23D155CF-5CB0-408A-9965-50899DDD966B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {34D55D32-3DE8-4065-80CA-58632D349EC0} - \svshost -> No File <==== ATTENTION Task: {4EE2BC2C-8B4F-4AB0-B2B5-91EA0FA87767} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {64665C9E-B76F-4373-BDBF-2271869B32D2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {76C24C99-CE8F-45FE-9538-4A92F106CA82} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {908C66C1-6856-4BF2-B96F-0B8ED752D7EB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {956232F1-BF07-4784-A4FD-E22F21A195CE} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION Task: {C8FF12BD-C972-484D-8AA5-3E07A8D96450} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {D5034514-91B3-40EA-BB7A-C06D29DB0436} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {E8FA0F87-07E4-4AE1-AB98-2D8AA2C05253} - \CCleanerSkipUAC -> No File <==== ATTENTION Task: {F18154DE-EAD1-4D4F-81A8-78C0509D50D2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION MSCONFIG\startupfolder: C:^Users^Александр^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.Startup EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
- - - - -Добавлено - - - - -
C:\Users\Александр\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\Mail.Ru.lnk
- - - - -Добавлено - - - - -
НаНе обращайте внимание, это я для себя добавил, напоминалку.- - - - -Добавлено - - - - -
C:\Users\Александр\AppData\Roaming\Microsoft\Inter net Explorer\Quick Launch\Mail.Ru.lnk
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
По прежнему осталась проблема.
Сделайте лог полного сканирования MBAM
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Полное сканирование MBAM
- - - - -Добавлено - - - - -
mbam.png
Удалите всё найденное в MBAM. Лог удаления прикрепите к теме.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Поиск в google и открытие рекламных вкладок осталось по прежнему. Думаю попробовать переустановить chrome.
Откройте браузер, в адресной строке введите chrome://extensions/ , отключите все расширения, проверьте проблему (наличие перенаправлений и рекламы), при их отсутствии. Включайте расширения по одному (поочередно) и проверяйте проблему. Сообщите при включении какого расширения проблема возобновилась.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Спасибо большое, проблема решена, но что странно, расширение которое мешало работе было отключено, поэтому я не придавал ему значение. Еще раз большое спасибо
Вирус заразил все расширения даже при включении adblock появлялась реклама поэтому пришлось переустановить расширения.
Ясно. Так как проблема решена, тему закрываю.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
Уважаемый(ая) Виктор Троян, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.