Вирус mail.ru

**PryanikovAV** · 27.12.2016, 21:52

Здравствуйте.
Столкнулся с проблемой неудаляемого вируса (скорее всего Mail.ru)
Скачивал torrent-файл, не заметил формат *.exe, распаковались все программы от mail и
браузер Google Chrome стал самостоятельно открывать рекламные сайты (Вулкан и пр.)
Программы Mail (Амиго, Одноклассники и пр.) были стерты, с браузером справиться не удалось.

Антивирусы: Kaspersky free, NOD ESS 8, Dr.Wev Cure It не видят.
Обнаруживает только ADWCleaner, удаляет, но после перезагрузки компьютера и перезапуска
Google Chrome - находит снова (startup_urls ; mail.ru/cnt/10445?gp=818410 )
После полной переустановки системы (Windows 7 OEM Home Base) проблема вернулась.

Возможно что данная вредоносная программа прикреплена к учетной записи Google Chrome?
Заранее спасибо за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 27.12.2016, 21:53

Уважаемый(ая) PryanikovAV, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 29.12.2016, 21:12

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**PryanikovAV** · 10.01.2017, 13:55

Файлы отчета сканирования FRST64:

**Vvvyg** · 10.01.2017, 19:05

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.google.com/ig/redirectdomain?brand=ASUT&bmod=ASUT","hxxp://mail.ru/cnt/10445?gp=818410"
U3 tmlwf; no ImagePath
U3 tmwfp; no ImagePath
2016-12-27 15:54 - 2016-12-27 15:54 - 00000000 ____D C:\ProgramData\Orbit
Shortcut: C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Игровой центр Mail.Ru.lnk -> C:\Users\Алексей\AppData\Local\Mail.Ru\GameCenter\[email protected] (No File) <===== Cyrillic
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
ZIP: C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Extensions

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите временно антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
На рабочем столе будет создан архив .ZIP с именем, состоящим из даты и времени выполнения фикса, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.

**PryanikovAV** · 11.01.2017, 10:26

Выполнил. Извиняюсь за задержку, почему то с первого раза пост не опубликовался.

http://rgho.st/7Cq8yC2Q2

**Vvvyg** · 12.01.2017, 06:55

Я просил Fixlog.txt прикрепить.

Что с проблемой?

**PryanikovAV** · 12.01.2017, 11:59

Сообщение от Vvvyg

Что с проблемой?

Проблема не решена:
ADWCleaner:
Найдена настройка Chromium: [C:\Users\Алексей\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://mail.ru/cnt/10445?gp=818410

Файл Fixlog.txt во вложении.
Обновленный файл отчета FRST доступен по ссылке:
http://rgho.st/6BfjgZ5Zr

P.S.: при удалении моей учетной записи из Google Chrome - проблема исчезает.
При повторной синхронизации - возвращается.
При синхронизации моей учетной записи Google Chrome на другом компьютере - проблема проявляется там.
Написал в поддержку Google Chrome - не отвечают в течение 16 дней.

**Vvvyg** · 12.01.2017, 18:51

Вариант один: Отключить аккаунт Google.

**PryanikovAV** · 15.01.2017, 14:47

Благодарю за совет, но для меня это не выход.
У Вас нет информации о данном startup urls?
На сколько это вредно для компьютера/пользователя?
hxxp://mail.ru/cnt/10445?gp=818410

**Vvvyg** · 15.01.2017, 18:55

Вредоносного в нём ничего, всё дело в том, что не Вы сами его прописали.
Попробуйте вручную удалить этот адрес в настройках Chrome, возможно, произойдёт обратная синхронизация.

**PryanikovAV** · 15.01.2017, 19:22

Сообщение от Vvvyg

Попробуйте вручную удалить этот адрес в настройках Chrome, возможно, произойдёт обратная синхронизация.

Имеется ввиду история? cookies? Поисковые системы?
Не могу найти в настройках данную строку

**Vvvyg** · 15.01.2017, 21:35

А вообще, осуществляется в Хроме переход на mail.ru? Если нет - может, это и несущественно.

**PryanikovAV** · 15.01.2017, 21:44

Я Вас понял)
Нет, переход на mail.ru не осуществляется.
Просто эта строка проявляется в AdwCleaner каждый раз после запуска браузера с моей учетной записью Chrome, даже на других компьютерах.

**Vvvyg** · 16.01.2017, 06:59

Тему можно закрывать?

**PryanikovAV** · 16.01.2017, 11:00

Видимо да.
Буду искать решение дальше.

**Vvvyg** · 16.01.2017, 22:05

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Вирус mail.ru (заявка № 207478)

Опции темы