Периодически в браузере Google Chrome самостоятельно открывается вкладка с рекламой

[Mmiron]

Прошу помощи, с некоторой периодичностью открывается вкладка с рекламой, в основном написано доступ ограничен, но иногда прогядывается казино вулкан.
Буду очень благодарна за помощь. В приложении архив с логами.

[Info_bot]

Уважаемый(ая) Mmiron, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lex0819]

Здравствуйте!

1. У вас установлено несколько антивирусов, - остановитесь на каком-то одном, остальные удалите.

2. Удалите программу Advanced SystemCare 8 от IOBIT, если она вам не сильно нужна.

3. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

4. Если этот адрес DNS-сервера 77.73.138.4 не имеет отношения к вашему провайдеру, то удалите его через программу HiJackThis.
Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O17 - DHCP DNS - 1: 77.73.138.4

5. Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
 QuarantineFile('C:\Windows\system32\wbiosrvp.dll','');
 QuarantineFile('C:\Windows\system32\themctrl.dll','');
 DelCLSID('{8A69D345-D564-463c-AFF1-A69D9E530F96}');
 QuarantineFile('C:\Program Files (x86)\Common Files\VRfOiuBpErioA.bat','');
 QuarantineFile('C:\Users\MASHA\AppData\Roaming\jwDZyIUmuU.bat','');
 QuarantineFile('C:\Users\MASHA\AppData\Local\wYHpeUJIEuaaX.exe','');
 QuarantineFile('C:\Windows\TEMP\clearcache.dll','');
 DeleteFile('C:\Windows\TEMP\clearcache.dll','32');
 DeleteFile('C:\Windows\system32\Tasks\FILKeUaXNsk','64');
 DeleteFile('C:\Users\MASHA\AppData\Local\wYHpeUJIEuaaX.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\jSiwfcWozQxjE','64');
 DeleteFile('C:\Users\MASHA\AppData\Roaming\jwDZyIUmuU.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\PyogOvZatUu','64');
 DeleteFile('C:\Program Files (x86)\Common Files\VRfOiuBpErioA.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\{25852E52-2391-4BCC-88EF-A4090A31CFB1}','64');
 DeleteFile('C:\Windows\system32\themctrl.dll','32');
 DeleteFile('C:\Windows\system32\wbiosrvp.dll','32');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(21);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.

6. Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

Пришлите архив карантина из папки AVZ.

7. Сделайте лог утилитой AdwCleaner и пришлите его.

8. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Mmiron]

Благодарю за быстрый ответ.
Прикрепляю все, как вы сказали.

- - - - -Добавлено - - - - -

[lex0819]

1. Вы сами установили Go! — компилируемый многопоточный язык программирования, разработанный компанией Google?

Код:

2017-12-28 01:04 - 2017-12-28 01:08 - 000000000 ____D C:\Users\MASHA\AppData\Local\Go!

Если нет, - удалите.

2.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction <==== ATTENTION
  GroupPolicy\User: Restriction <==== ATTENTION
  GroupPolicyUsers\S-1-5-21-239905989-3341099891-1557578598-1001\User: Restriction <==== ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [No File]
  FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
  FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw_1215155.dll [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  CHR HKU\S-1-5-21-239905989-3341099891-1557578598-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
  CHR HKLM-x32\...\Chrome\Extension: [lfgkmlldjpjacgicdjmmgcboihbghpal] - hxxps://clients2.google.com/service/update2/crx
  S2 themctrl; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 themctrl; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 wbiosrvp; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 wbiosrvp; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 AdvancedSystemCareService8; C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASCService.exe [X]
  S3 VGPU; System32\drivers\rdvgkmd.sys [X]
  2017-12-28 01:04 - 2018-01-11 00:21 - 000003290 ____N C:\Windows\System32\Tasks\jSiwfcWozQxjE
  2017-12-28 01:04 - 2018-01-10 15:21 - 000003508 ____N C:\Windows\System32\Tasks\PyogOvZatUu
  2017-12-28 01:04 - 2017-12-28 01:04 - 000003640 ____N C:\Windows\System32\Tasks\FILKeUaXNsk
  2018-01-01 08:44 - 2018-01-01 08:44 - 000000000 ____H C:\Users\MASHA\AppData\Local\BITC35E.tmp
  2018-01-01 08:44 - 2018-01-01 08:44 - 000000000 _____ C:\Users\MASHA\AppData\Local\{ADE781DF-C8BF-4A99-8117-2873A30370BF}
  2017-12-28 01:04 - 2017-12-28 01:04 - 000000001 _____ C:\Users\MASHA\AppData\Local\WMI.ini
  2017-12-28 01:04 - 2009-07-14 04:14 - 000001171 _____ C:\Windows\TOipGhIiUrClU
  2017-12-28 01:04 - 2009-07-14 04:14 - 000001154 _____ C:\Windows\SysWOW64\oTrpxkFbOi
  2017-12-28 01:04 - 2009-07-14 04:14 - 000000054 _____ C:\Users\MASHA\AppData\Roaming\jwDZyIUmuU
  2017-12-28 01:01 - 2017-12-28 01:01 - 000003608 _____ C:\Windows\System32\Tasks\bltopncomhohoj
  2016-02-03 07:03 - 2016-02-03 07:03 - 006871040 _____ () C:\Program Files (x86)\GUT5C72.tmp
  2017-12-28 01:04 - 2009-07-14 04:14 - 000000060 _____ () C:\Program Files (x86)\Common Files\VRfOiuBpErioA
  2017-12-28 01:04 - 2010-11-21 06:24 - 000186368 _____ (Microsoft Corporation) C:\Users\MASHA\AppData\Roaming\iUbnLYxUo.exe
  2017-12-28 01:04 - 2009-07-14 04:14 - 000000054 _____ () C:\Users\MASHA\AppData\Roaming\jwDZyIUmuU
  2016-09-29 17:15 - 2016-09-29 17:15 - 000000000 ____H () C:\Users\MASHA\AppData\Local\BIT6039.tmp
  2018-01-01 08:44 - 2018-01-01 08:44 - 000000000 ____H () C:\Users\MASHA\AppData\Local\BITC35E.tmp
  2017-12-28 01:04 - 2017-12-28 01:04 - 000000001 _____ () C:\Users\MASHA\AppData\Local\WMI.ini
  2016-09-29 17:14 - 2016-09-29 17:15 - 000000000 _____ () C:\Users\MASHA\AppData\Local\{608EF20B-7A71-48AC-A044-5CE4CDB88B93}
  2018-01-01 08:44 - 2018-01-01 08:44 - 000000000 _____ () C:\Users\MASHA\AppData\Local\{ADE781DF-C8BF-4A99-8117-2873A30370BF}
  Task: {097CE3F5-6C3F-455E-83BF-38A483520F32} - System32\Tasks\bltopncomhohoj => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" bltopn.com/hohoj <==== ATTENTION
  Task: {41C19915-02AC-4B60-93BD-E0D13C52A79E} - System32\Tasks\PyogOvZatUu => C:\Program Files (x86)\Common Files\VRfOiuBpErioA.bat <==== ATTENTION
  Task: {B72A1D4C-2FE2-495A-89A9-1A722258FE10} - System32\Tasks\FILKeUaXNsk => C:\Users\MASHA\AppData\Local\wYHpeUJIEuaaX.exe
  Task: {DAC66C53-3DEE-4856-BC36-41562016FA39} - System32\Tasks\jSiwfcWozQxjE => C:\Users\MASHA\AppData\Roaming\jwDZyIUmuU.bat <==== ATTENTION
  EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Mmiron]

Прикрепляю файл:

[lex0819]

Уточните, вопрос решен? Реклама не появляется?

[Mmiron]

Пару дней за этим послежу и сообщу вам.

- - - - -Добавлено - - - - -

К сожалению, только что появилась вкладка:
http://hug.game-bonuses.club/vulkan/...78472185913969

[lex0819]

Сделайте новые логи программой Autologger и пришлите их.

Не игнорируйте мои вопросы:

4. Если этот адрес DNS-сервера 77.73.138.4 не имеет отношения к вашему провайдеру, то удалите его через программу HiJackThis.

2. Удалите программу Advanced SystemCare 8 от IOBIT, если она вам не сильно нужна.

1. Вы сами установили Go! — компилируемый многопоточный язык программирования, разработанный компанией Google?

Комментируйте все пункты, которые указаны в плане действий.

[Mmiron]

Отвечаю на вопросы:
4. адрес сервера пыталась удалить в программе (нажимала fix checked), но при каждом новом запуске он появляется снова.
Извините, если вопрос глупый, но как узнать имеет ли этот адрес отношение к моему провайдеру?
2. Удалила сразу же, как вы об этом сказали.
1. Нет, сама не устанавливала, но тоже уже удалила.

- - - - -Добавлено - - - - -

на сайте 2ip написано, что мой адрес: 77.73.139.201

[lex0819]

1. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O4 - MSConfig\startupreg: [GoogleChromeAutoLaunch_B56996736D411A08206EA7CCF56C75BF] C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --no-startup-window /prefetch:5 (HKCU) (2016/07/02)
O22 - Task: ASC8_SkipUac_MASHA - C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe /SkipUac (file missing)
O22 - Task: FILKeUaXNsk - C:\Users\MASHA\AppData\Local\wYHpeUJIEuaaX.exe /i http://soflourd.com/wufnmfiyccqe.xzx /q (file missing)
O22 - Task: PyogOvZatUu - C:\Program Files (x86)\Common Files\VRfOiuBpErioA.bat (file missing)
O22 - Task: bltopncomhohoj - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe bltopn.com/hohoj
O22 - Task: jSiwfcWozQxjE - C:\Users\MASHA\AppData\Roaming\jwDZyIUmuU.bat (file missing)

2. Выполните скрипт AVZ.

Код:

begin
 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 DeleteFile('C:\Windows\system32\Tasks\ASC8_SkipUac_MASHA','64');
 DeleteFile('C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe','32');
 DeleteFile('C:\Users\MASHA\Desktop\IMPORT\ненужно\ТЕХН. ШТУКИ\Advanced SystemCare Pro.lnk','32');
 DeleteFile('C:\Windows\system32\Tasks\FILKeUaXNsk','64');
 DeleteFile('C:\Users\MASHA\AppData\Local\wYHpeUJIEuaaX.exe  /i http://soflourd.com/wufnmfiyccqe.xzx /q','32');
 DeleteFile('C:\Users\MASHA\AppData\Local\wYHpeUJIEuaaX.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\jSiwfcWozQxjE','64');
 DeleteFile('C:\Users\MASHA\AppData\Roaming\jwDZyIUmuU.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\PyogOvZatUu','64');
 DeleteFile('C:\Program Files (x86)\Common Files\VRfOiuBpErioA.bat','32');
end.

Перезагрузите компьютер вручную.

3. Для очистки браузера Chrome используйте фирменный инструмент Google cleanup-tool
Рекомендации техподдержки Google - Как удалить вредоносное ПО и заблокировать всплывающие окна в Chrome

[Mmiron]

Ответьте что-нибудь, прошу вас.

[thyrex]

Ответ в сообщении над Вашим

[Mmiron]

Спасибо большое за помощь, проделала все, как вы написали. Уже 2-ой день слежу, реклама не появляется.
Ваще сообщение в теме почему-то не было показано, хотя каждый день заходила, проверяла...