Самовольный запуск или открытие новой вкладки с интернет-казино в Хроме после запуска скачанного exe-шника

[goldenvitalii79]

Здравствуйте!
Сдуру скачал и запустил под видом презентации EXE-шник.
В результате установились какие-то сервисы mail.ru и ещё какая-то хрень. Эти сервисы я удалил через панель управления.
Но! Самовольно запускается браузер (Хром) или если он открыт, то периодически открывается новая в кладка и загружаются последовательно, как в сообщении Maksim Kovalev заявка № 206445 https://virusinfo.info/showthread.php?t=206445

http://b2.ijquery11.com/cs?wsa=51847965c128e3d3,
затем по этому адресу оно перешло на этот адрес:
http://bambori.ru/632wsaakxnf697wb0q...bwh1jtcjldvbiw
а уже с него и сама рекламная ссылка на сайт-казино открывается

P.S. В планировщике подозрительную задачу удалил, новая вкладка или брузер перестали окрываться, но есть подозрения, что какая-то зараза осталась в системе после запуска зловредного EXE-шника.

[Info_bot]

Уважаемый(ая) goldenvitalii79, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

- Подготовьте лог AdwCleaner и приложите его в теме.

[goldenvitalii79]

- Подготовьте лог AdwCleaner и приложите его в теме.

Прикрепляю и последний лог и самый первый. Повторюсь, что паразитная вкладка перестала открываться только после того, как я удалил какую-то строчку (сейчас уже не помню как она называлась) из планировщика задач.

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[goldenvitalii79]

Прогнал Farbar Recovery Scan Tool
Прикрепляю FRST.txt и Addition.txt

[SQ]

Какие из следующий расширений Вы сами ставили?

Код:

CHR Extension: (AdBlock) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-02-26]
CHR Extension: (Google*Keep*– заметки и списки) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmjkmjkepdijhoojdojkdfohbdgmmhki [2017-03-22]
CHR Extension: (Proxy for Chrome) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\iilpibhiihokecnbdkaminemnmecjfed [2016-08-12]
CHR Extension: (MessageViewer Online by Encryptomatic) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfhiimcglajpmoefhgoigchfdikdiina [2015-09-02]
CHR Extension: (SaveFrom.net помощник) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2017-03-22] [UpdateUrl: hxxp://sf-addon.com/helper/chrome/updates-3.xml] <==== ATTENTION
CHR Extension: (Browsec VPN - Privacy and Security Online) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2016-12-26]
CHR Extension: (Sci-Hub) - C:\Sci-Hub [2016-11-23] [UpdateUrl: hxxp://31.184.194.81/update] <==== ATTENTION

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-2152041319-587950965-2178040051-1000\...\Policies\Explorer: [] 
  FF HKU\S-1-5-21-2152041319-587950965-2178040051-1000\...\SeaMonkey\Extensions: [[email protected]] - C:\Program Files (x86)\Internet Download Manager\idmmzcc2.xpi => not found
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR StartupUrls: Default -> "hxxp://www.google.com/webhp?hl=en","hxxp://smart-lab.ru/","hxxp://www.banki.ru/forum/?PAGE_NAME=read&FID=83&TID=174008&PAGEN_1=191#forum-message-list","hxxp://mail.ru/cnt/10445?gp=821272","hxxp://www.hohosearch.com/?mode=nnnb&ptid=amz&uid=4384E6D242DD193906CEDC1F0F1D0DED&v=20160415&ts=AHEqA3UtAnInBk..","hxxp://mail.ru/cnt/10445?gp=811040"
  CustomCLSID: HKU\S-1-5-21-2152041319-587950965-2178040051-1000_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe => No File
  CustomCLSID: HKU\S-1-5-21-2152041319-587950965-2178040051-1000_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2013\acad.exe /Automation => No File
  CustomCLSID: HKU\S-1-5-21-2152041319-587950965-2178040051-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2013\ru-RU\acadficn.dll => No File
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d0bf7873c16599.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d0e24766bc699.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d0f0523d8b9243.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d12ce4b60f92b4.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d15d7b82c0e3f2.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore1d1ab361006f62a.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1d0904a103b27e4.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1d0e2477241ccc.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1d0f0523e43bfb2.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1d15d7b83867629.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA1d1ab3611484fef.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
  AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [116]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1EDB939 [116]
  HKU\S-1-5-21-2152041319-587950965-2178040051-1000\Software\Classes\.scr: scrfile =>  <===== ATTENTION
  C:\users\user\appdata\roaming\acestream
  FirewallRules: [TCP Query User{3C667629-A5E7-4848-8F81-418EC594E9E2}C:\users\user\appdata\roaming\acestream\engine\ace_engine.exe] => (Block) C:\users\user\appdata\roaming\acestream\engine\ace_engine.exe
  FirewallRules: [UDP Query User{14A6E201-B220-4B43-B82C-35F3705B6937}C:\users\user\appdata\roaming\acestream\engine\ace_engine.exe] => (Block) C:\users\user\appdata\roaming\acestream\engine\ace_engine.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[goldenvitalii79]

(AdBlock) - сам ставил
(Google*Keep*– заметки и списки) - сам ставил

(Proxy for Chrome) - если это "Экономия трафика" то да, ставил сам, если это не "Экономия трафика", то НЕ ставил

(MessageViewer Online by Encryptomatic) - Не ставил
(SaveFrom.net помощник) - Не ставил, но ставил DownloadMaster, если это DownloadMaster, то ДА ставил

(Browsec VPN - Privacy and Security Online) - сам ставил
(Sci-Hub) - сам ставил

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  CHR Extension: (MessageViewer Online by Encryptomatic) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfhiimcglajpmoefhgoigchfdikdiina [2015-09-02]
  CHR Extension: (SaveFrom.net помощник) - C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdpljndcmbeikfnlflcggaipgnhiedbl [2017-03-22] [UpdateUrl: hxxp://sf-addon.com/helper/chrome/updates-3.xml] <==== ATTENTION
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[goldenvitalii79]

Проделал, цепляю фикслог

[SQ]

Сообщите, что с проблемой?

[goldenvitalii79]

Сообщите, что с проблемой?

Вроде внешне всё спокойно, но важно чтобы инструменты сами умели находить и вычищать заразу из планировщика задач проследив перед этим откуда они там появились.
Спасибо за помощь, респект Вам

[SQ]

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

Удачи Вам!