Самопроизвольное открытие страниц в "Хроме"

[Kropotkin]

Подхватила вирус с самопроизвольным открытием страниц. Что-то саморучно удаляла, но до конца компьютер так и не очистила. Подозреваю, что это не единственная зараза на моем компе.

[Info_bot]

Уважаемый(ая) Kropotkin, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 DeleteFile('C:\autorun.inf', '32');
 DeleteFile('C:\GameXP\AccessPoint\accesspoint.exe', '32');
 DeleteFile('C:\Program Files (x86)\Atilecobutain\kelerlyreatainghelperCltain.exe', '32');
 DeleteFile('C:\Program Files (x86)\Atilecobutain\kelerlyreatainghelperPhlaied.exe', '32');
 DeleteFile('C:\ProgramData\CloudPrinter\CloudPrinter.exe', '32');
 DeleteFile('C:\ProgramData\Damfax\Blackfresh.reg', '32');
 DeleteFile('C:\ProgramData\Damfax\Dalt-Soft.reg', '32');
 DeleteFile('C:\ProgramData\Damfax\Damfax.exe', '32');
 DeleteFile('C:\ProgramData\Damfax\OpeCom.reg', '32');
 DeleteFile('C:\ProgramData\Damfax\S-sing.reg', '32');
 DeleteFile('C:\ProgramData\RenewalService\Renewal.exe', '32');
 DeleteFile('C:\Users\БаоБао\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
 DeleteFile('C:\Users\БаоБао\AppData\Local\spoolclo\spoolclo.exe', '32');
 DeleteFile('C:\Users\БаоБао\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteFile('C:\Users\БаоБао\AppData\Roaming\prof2you\updater\python\pythonw.exe', '32');
 DeleteFile('MpKsld3aae1bd.sys', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Kelerlyreataing Helper" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Application Experience\RenewalService" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "prof2you" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Hot-Lam" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Scotlux" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Statranfax" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Tripplehatnix" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "spoolclo" /F', 0, 15000, true);
 DeleteService('CloudPrinter');
 DeleteService('Damfax');
 DeleteService('gamexpsvc');
 DeleteService('kelerlyreatainghelperPhlaied.exe');
 DeleteService('MpKsld3aae1bd');
 DeleteFileMask('c:\program files (x86)\atilecobutain', '*', true);
 DeleteFileMask('c:\programdata\cloudprinter', '*', true);
 DeleteFileMask('c:\programdata\damfax', '*', true);
 DeleteFileMask('c:\programdata\renewalservice', '*', true);
 DeleteFileMask('c:\users\баобао\appdata\local\mail.ru', '*', true);
 DeleteFileMask('c:\users\баобао\appdata\local\spoolclo', '*', true);
 DeleteDirectory('c:\program files (x86)\atilecobutain');
 DeleteDirectory('c:\programdata\cloudprinter');
 DeleteDirectory('c:\programdata\damfax');
 DeleteDirectory('c:\programdata\renewalservice');
 DeleteDirectory('c:\users\баобао\appdata\local\mail.ru');
 DeleteDirectory('c:\users\баобао\appdata\local\spoolclo');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'GameXP AccessPoint');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

[Kropotkin]

Это отчет ClearLNK

- - - - -Добавлено - - - - -

А это отчет AdwCleaner.

[Vvvyg]

Ответ через 4 с лишним месяца - это, наверное, рекорд
Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

[Kropotkin]

AdwCleaner больше ничего не находит. Мой главный индикатор проблем - браузер периодически выводит капчу, демонстрируя, что я занимаюсь злостными рассылками. Несмотря на чистку, это продолжает происходить. Хотя и реже.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Kropotkin]

Отсканировала.
Да уж, много всего нашлось.

[Vvvyg]

FRST - не антивирус, он выдаёт весь автозапуск и показывает свежие файлы.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
CHR Profile: C:\Users\БаоБао\AppData\Local\Google\Chrome\User Data\System Profile [2016-10-22]
CHR HKU\S-1-5-21-3983026003-3890687175-2363297485-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3983026003-3890687175-2363297485-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3983026003-3890687175-2363297485-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2018-01-31 09:08 - 2018-02-02 02:24 - 000000000 ____D C:\AdwCleaner
HKU\S-1-5-21-3983026003-3890687175-2363297485-1001\...\StartupApproved\Run: => "GameXP AccessPoint"
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите расширение Пульс в Хроме, и от Mail.Ru, если не нужны.

Капча может выдаваться и по причинам не связанным с вирусами и adware.

[Kropotkin]

Готово.

[Vvvyg]

С пустым файлом fixlist.txt сделали, повторите.

[Kropotkin]

Прошу прощения.

[Vvvyg]

Всё тогда на этом.

[Kropotkin]

Всё тогда на этом.

Спасибо большое.

[Vvvyg]

Запустите AdwCleaner и нажмите Файл (File) -> Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.