Начальная страница Хрома заменена неприличной рекламой

[Sinitsa 0]

Здравствуйте.
Компьютер Core i5 3000 - 4Гб, Win7HBx64.
С некоторых пор Хром 33.0 начал грузить в начале работу некую рекламную страницу, не всегда хорошего содержания. Видимых установленных программ нет.
Логи AVZ и RSIT прикладываем: virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt 

[_Maks__ 370]

Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. 

Недавняя запись на эту тему в блоге Лаборатории. 

[Sinitsa 0]

Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. 

Недавняя запись на эту тему в блоге Лаборатории. 

Мы это и без Вас знаем. Пробовали — бесполезно.

А ссылка битая.

[Pomka. 2 082]

 

Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. 

Недавняя запись на эту тему в блоге Лаборатории. 

Мы это и без Вас знаем. Пробовали — бесполезно.

А ссылка битая.

 

прошел по ссылке все работает.

Изменено 1 апреля, 2014 пользователем Pomka.

[kmscom 1 708]

[gecsagen 279]

Можно AdwCleaner http://www.comss.ru/page.php?id=1309 попробовать(по ссылке можно скачать).

[ACIK 404]

Покажите скрин Свойств ярлыка Хрома.

 

P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1"

[_Maks__ 370]

@ACIK, тоже про ярлык хотел написать.

 

Там не должно быть прописано никаких адресов сайтов.. 

Можно убрать вручную всё, что после  .exe" и применить. 

[Soft 1 453]

Всех не смутило, что пользователь пришёл с логами, но не в этот радел

[Mark D. Pearlstone 1 469]

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь".

[mike 1 970]

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Users\UserPC16\AppData\Roaming\Mozilla\Firefox\Profiles\83sgqufc.default\searchplugins\webalta-search.xml','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;    
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe

 

Пересоздайте ярлыки для браузеров.

 

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

Сделайте лог MBAM. Подробней: http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/

[Sinitsa 0]

Покажите скрин Свойств ярлыка Хрома.

 

P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1"

Скрин стандартный, но там просто "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" без всяких  --profile-directory="Profile 1

 

Покажите скрин Свойств ярлыка Хрома.

 

P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1"

Скрин стандартный, но там просто "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" без всяких  --profile-directory="Profile 1

 

Речь шла о ярлыки, который был на Р.Столе. Но запускали мы Хром в основном через Панель задач, где свойства Хрома были непонятны. И вот: после выполнения скрипта от mike 1 этот Хром перестал запускаться, ссылаясь на ошибочный url. Что и требовалось доказать. Удалили его с панели задач. Хром запускается без рекламы. Будем работать дальше с HJT...

 

Пересоздайте ярлыки для браузеров.

Да, конечно.

Отправить карантин через форму не удалось, ибо пишет: 

Unfortunately, there is a fault on the server. We are very sorry for the inconvenience; our specialists are currently working on the problem and normal service will be resumed shortly.

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe

 

Пересоздайте ярлыки для браузеров.

 

 

 

Пофиксили в HiJackThis все строки, кроме:

строки с Mobogenie\DaemonProcess.exe не было, да и в соответствующей папки этого не было, а всё, что было удалили вручную (был один htm-файл)

AdwCleanerR1.txt

hijackthis.log

MBAM запустили, просканировали, нашел 5 чего-то там (Detected), мы давай фиксить, пофиксил, тут же перезагрузилось, не успели записать лог.

отчет малбар.txt

[zyablik 10]

Строгое предупреждение от модератора Roman_Five

удалено!

 

Сообщение от модератора Roman_Five

тему уже в разделе "УВ".

Изменено 2 апреля, 2014 пользователем Roman_Five

[mike 1 970]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

• По окончанию сканирования снимите галочки со следующих строк:

Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\UserPC16\AppData\Local\Yandex
Folder Found C:\Users\UserPC16\AppData\LocalLow\Yandex
Folder Found C:\Users\UserPC16\AppData\Roaming\Yandex

• Нажмите кнопку "Clean" и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

 

 

Лог MBAM нужен полного сканирования. Подробней как сделать этот лог описано здесь http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/

[Sinitsa 0]

 

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".

• По окончанию сканирования снимите галочки со следующих строк:

Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\UserPC16\AppData\Local\Yandex
Folder Found C:\Users\UserPC16\AppData\LocalLow\Yandex
Folder Found C:\Users\UserPC16\AppData\Roaming\Yandex

• Нажмите кнопку "Clean" и дождитесь окончания удаления.

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.

• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!.

 

Подробнее читайте в этом руководстве.

 

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

 

 

Лог MBAM нужен полного сканирования. Подробней как сделать этот лог описано здесь http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/

 

Спасибо за помощь. К сожалению, сегодня выполнить Ваши рекомендации полностью нет возможности. Продолжим завтра.