Вирус открывает вкладки с рекламой (в Google Chrome)

[VDLEE]

Добрый день.
Вирус (или что то другое) открывает вкладки с рекламой/порно/и т.д.
Происходит это за частую при переходе по нужным мне (надежным) ссылкам, либо при клике на любой точке сайта/почты и т.д.

[Info_bot]

Уважаемый(ая) VDLEE, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[VDLEE]

Скажите, а какой карантин просит загрузить кликабельное сообщение красным цветом?
Вроде по инструкции то что надо прикрепил

[lex0819]

Удалите программу BlueStacks штатными средствами Windows.

Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\TNOD\TNODUP.exe','');
 DelCLSID('{89820200-ECBD-11cf-8B85-00AA005B4340}');
 DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
 DeleteFile('C:\Users\Вячеслав\Favorites\Links\Интернет.url','32');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\8GadgetPack\Website.lnk','32');
 DeleteFile('C:\Users\Вячеслав\Desktop\Tools\Обновить лицензию NOD32.lnkl','32');
 DeleteFile('C:\TNOD\TNODUP.exe','32');
 DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.speedsoftware.rootexplorer.lnk','32'); DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000008\Launcher.vbs','32');
 DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.kingroot.kinguser.lnk','32');
 DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000012\Launcher.vbs','32');
 DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.facebook.katana.lnk','32');
 DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000015\Launcher.vbs','32');
 DeleteFile('C:\Users\Вячеслав\AppData\Local\Microsoft\Windows\Application Shortcuts\BlueStacks\com.shield.inf.lnk','32');
 DeleteFile('C:\ProgramData\BlueStacks\UserData\TileData\000002\Launcher.vbs','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

Пришлите архив карантина из папки AVZ.

Сделайте новые логи программой Autologger и пришлите их.

Сделайте лог утилитой AdwCleaner и пришлите его.

[VDLEE]

Есть кто смог бы помочь моему "горю"?

- - - - -Добавлено - - - - -

Неужели никого нет?
Вложение просмотрено два раза, но никакого ответа, народ, подсобите с проблемой.

[Никита Соловьев]

Уважаемый(ая) VDLEE, в разделе "Помогите" просмотр заявок осуществляется произвольно и зависит от степени загруженности консультантов. Просьба проявить терпение или использовать платный приоритетный раздел "Помогите +".

Рекомендации по теме представлены выше.

[VDLEE]

Сделано. отчеты прилагаю:

[lex0819]

1. Удалите программу PCCleaner Pro штатными средствами Windows.

2. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из последних логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

3. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[VDLEE]

PCCleaner Pro не найден в списке "Программы и компоненты"

Остальные логи прилагаю:

[lex0819]

1. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O4 - HKCU\..\StartupApproved\Run: [BlueStacks Agent]  (2016/05/27)C:\Program Files\BlueStacks\HD-Agent.exe (file missing)
O22 - Task (Ready): PCCleaner-Maintenance-Autorun - C:\ProgramData\PCCleaner Pro\PCCleaners.exe /minimize (file missing)

2. Выполните скрипт AVZ.

Код:

begin
 DeleteFile('C:\Program Files\BlueStacks\HD-Agent.exe','64');
 DeleteFileMask('C:\Program Files\BlueStacks','*',true);
 DeleteDirectory('C:\Program Files\BlueStacks');
 DeleteFile('C:\ProgramData\PCCleaner Pro\PCCleaners.exe','64');
 DeleteFileMask('C:\ProgramData\PCCleaner Pro','*',true);
 DeleteDirectory('C:\ProgramData\PCCleaner Pro');
 ExecuteFile('schtasks.exe', '/delete /TN "PCCleaner-Maintenance-Autorun" /F', 0, 15000, true);
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
end.

Перезагрузите компьютер вручную.

3.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\Run: [BlueStacks Agent] => C:\Program Files\BlueStacks\HD-Agent.exe
  HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\Run: [AdobeBridge] => [X]
  GroupPolicy: Restriction ? <======= ATTENTION
  GroupPolicy\User: Restriction ? <======= ATTENTION
  GroupPolicyScripts: Restriction <======= ATTENTION
  FF HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\SeaMonkey\Extensions: [[email protected]] - C:\Users\Вячеслав\AppData\Roaming\IDM\idmmzcc5
  FF Extension: (IDM CC) - C:\Users\Вячеслав\AppData\Roaming\IDM\idmmzcc5 [2017-04-26] [not signed]
  CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] - hxxps://clients2.google.com/service/update2/crx
  R2 Net Driver HPZ12; C:\Windows\system32\HPZinw12.dll [45568 2014-11-17] (Hewlett-Packard) [File not signed]
  R2 Pml Driver HPZ12; C:\Windows\system32\HPZipm12.dll [55808 2014-11-17] (Hewlett-Packard) [File not signed]
  S3 SwitchBoard; C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) [File not signed]
  S3 WsDrvInst; C:\Program Files\Wondershare\MirrorGo\DriverInstall.exe [X]
  S3 ute3mjk3; C:\Windows\system32\Drivers\ute3mjk3.sys [7168 2017-04-26] () [File not signed]
  S3 MBAMFarflt; \??\C:\Windows\system32\drivers\farflt.sys [X]
  S3 MBAMProtection; \??\C:\Windows\system32\drivers\mbam.sys [X]
  S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
  2017-04-21 13:20 - 2017-04-21 17:49 - 00000000 ____D C:\Users\Все пользователи\PCProSettingsLocal
  2017-04-21 13:20 - 2017-04-21 17:49 - 00000000 ____D C:\ProgramData\PCProSettingsLocal
  2017-04-25 10:21 - 2016-05-27 13:29 - 00000000 ____D C:\Users\Все пользователи\BlueStacksSetup
  2017-04-25 10:21 - 2016-05-27 13:29 - 00000000 ____D C:\ProgramData\BlueStacksSetup
  2017-04-25 10:22 - 2017-04-25 10:22 - 0061440 _____ () C:\Users\Вячеслав\AppData\Local\Temp\56n-8nmz.dll
  2017-04-26 09:34 - 2017-03-03 22:38 - 0897560 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-Common.dll
  2017-04-26 09:34 - 2017-03-03 22:39 - 0516120 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-InstallerUtils.dll
  2017-04-26 09:34 - 2017-03-03 22:29 - 0187416 _____ (BlueStack Systems) C:\Users\Вячеслав\AppData\Local\Temp\HD-LibraryHandler.dll
  2017-04-26 09:34 - 2017-03-03 22:27 - 0246808 _____ (BlueStack Systems) C:\Users\Вячеслав\AppData\Local\Temp\HD-Logger-Native.dll
  2017-04-26 09:34 - 2017-03-03 22:38 - 0426008 _____ (BlueStack Systems, Inc.) C:\Users\Вячеслав\AppData\Local\Temp\HD-Uninstaller.exe
  2017-04-25 10:22 - 2017-04-25 10:22 - 0061440 _____ () C:\Users\Вячеслав\AppData\Local\Temp\mdvkqxum.dll
  C:\Windows\explorer.exe => File is digitally signed
  C:\Windows\system32\winlogon.exe => File is digitally signed
  C:\Windows\system32\wininit.exe => File is digitally signed
  C:\Windows\system32\svchost.exe => File is digitally signed
  C:\Windows\system32\services.exe => File is digitally signed
  C:\Windows\system32\User32.dll => File is digitally signed
  C:\Windows\system32\userinit.exe => File is digitally signed
  C:\Windows\system32\rpcss.dll => File is digitally signed
  C:\Windows\system32\dnsapi.dll => File is digitally signed
  C:\Windows\system32\Drivers\volsnap.sys => File is digitally signed
  HKU\S-1-5-21-2047016008-1866537745-3107427594-1001\...\StartupApproved\Run: => "BlueStacks Agent"
  FirewallRules: [{0CFC5FF7-091E-40EB-A7ED-92CD26D7E57E}] => (Allow) C:\ProgramData\BlueStacksGameManager\OBS\HD-OBS.exe
  FirewallRules: [{42EDF09A-E54C-419C-86AC-E9FBE1340DF7}] => (Allow) C:\ProgramData\BlueStacksGameManager\OBS\HD-OBS.exe
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[VDLEE]

1. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Выполнено, за исключением:

Код:

O22 - Task (Ready): PCCleaner-Maintenance-Autorun - C:\ProgramData\PCCleaner Pro\PCCleaners.exe /minimize (file missing)

Это не найдено (скрин в приложении)

============

2. Выполните скрипт AVZ.
Перезагрузите компьютер вручную.

Выполнено

3.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

Выполнено, лог в приложении

- - - - -Добавлено - - - - -

Извините за оффтоп, но хотел бы узнать причину задержки появления сообщений с Вашей стороны. Вчера вы (судя по времени сообщения) ответили мне в 14:00, хотя я до вечера (до 18:00 точно) мониторил данную тему, но сообщения Вашего не увидел. Может есть необходимость закрывать сайт и заходить заново?
Заранее спасибо за ответ

[VDLEE]

К сожалению проблема все еще осталась

- - - - -Добавлено - - - - -

Уважаемые помощники, все понимаю, загруженность, личная жизнь, и т.п. но 4 дня на проблемку..., даже я, будучи чайником считаю что слишком много. в соседних темах аналогичные проблемы (судя по описанию) решаются в 1-2 дня. Премного благодарен за внимание к данному сообщению.

- - - - -Добавлено - - - - -

Поведение вируса изменилось, теперь он не открывает новые вкладки, а переходит на сайты с рекламой на текущей вкладке.

[thyrex]

Новый лог FRST.txt сделайте

[VDLEE]

Сделано, отчет прилагаю

- - - - -Добавлено - - - - -

Ко всему прочему заметил среди процессов немалое количество svchost файлов (около 14 шт). Скрин прилагаю
Так же заметил минимум 3 процесса COM Surrogate, из которых остается только 1 после открытия диспетчера задач. Заскринить все таки успел, прилагаю.
не знаю связано ли это с моей основной проблемой, с которой я обратился к Вам. но все же.

- - - - -Добавлено - - - - -

Из личных наблюдений - реклама запускается каждые 20 минут (судя по истории браузера)

[thyrex]

Ко всему прочему заметил среди процессов немалое количество svchost файлов (около 14 шт)

Количество таких процессов зависит от числа служб, для работы которых он необходим.

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему.

[VDLEE]

Добрый день
Отключил расширения, и как ни странно. проблема исчезла, НО любопытства ради включил все расширения снова, и проблемы так же нет
Из всего что есть в расширениях:
-Foxit PDF Creator 8.2.0.2
-Google Презентации 0.9
-Google Таблицы 1.1
-Google Документы Офлайн 1.4
-IDM Integration Module 6.28.7
-Документы Google

А нет, проблема осталась
Вновь отключил все расширения, жду. о результатах наблюдения сообщу через 1-1,5 часа

- - - - -Добавлено - - - - -

с отключенными расширениями проблемы нету.

[VDLEE]

Спасибо всем за помощь. не нужные расширения удалил.

[thyrex]

Скорее всего дело было в каком-то из подмененных расширений от Google

[VDLEE]

Скорее всего дело было в каком-то из подмененных расширений от Google

Скорее всего.
На последок хотел спросить - видел в какой то теме, в разделе "Помогите" описание программы, которая при сканировании выявляет устаревшие или нуждающиеся в обновлении приложения, и даже вроде дает ссылку на них. Может знаете о чем идет речь и подскажете?

[thyrex]

• Загрузите SecurityCheck by glax24 (в ссылке на скачивание уберите лишние пробелы) и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.