Перейти к содержанию

Начальная страница Хрома заменена неприличной рекламой


Рекомендуемые сообщения

Здравствуйте.
Компьютер Core i5 3000 - 4Гб, Win7HBx64.
С некоторых пор Хром 33.0 начал грузить в начале работу некую рекламную страницу, не всегда хорошего содержания. Видимых установленных программ нет.
Логи AVZ и RSIT прикладываем: virusinfo_syscheck.zip virusinfo_syscure.zip info.txt log.txt 

Ссылка на сообщение
Поделиться на другие сайты

Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. 

Недавняя запись на эту тему в блоге Лаборатории. 

Ссылка на сообщение
Поделиться на другие сайты

Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. 

Недавняя запись на эту тему в блоге Лаборатории. 

Мы это и без Вас знаем. Пробовали — бесполезно.

А ссылка битая.

Ссылка на сообщение
Поделиться на другие сайты

 

Скорее всего установили с какой-нибудь программой или при распаковке файла.. Попробуйте изменить страницу вручную. 

Недавняя запись на эту тему в блоге Лаборатории. 

Мы это и без Вас знаем. Пробовали — бесполезно.

А ссылка битая.

 

прошел по ссылке все работает.

Изменено пользователем Pomka.
Ссылка на сообщение
Поделиться на другие сайты

Покажите скрин Свойств ярлыка Хрома.

 

P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1"

Ссылка на сообщение
Поделиться на другие сайты

@ACIK, тоже про ярлык хотел написать.

 

Там не должно быть прописано никаких адресов сайтов.. 


Можно убрать вручную всё, что после  .exe" и применить. 

Ссылка на сообщение
Поделиться на другие сайты

Сообщение от модератора Mark D. Pearlstone
Тема перемещена из раздела "Компьютерная помощь".
Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','');
 DeleteFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files (x86)\Internet Explorer\iexplore.url','32');
 DeleteFile('C:\Users\UserPC16\AppData\Roaming\Mozilla\Firefox\Profiles\83sgqufc.default\searchplugins\webalta-search.xml','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mobilegeni daemon');  
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;    
RebootWindows(false);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
 
Пересоздайте ярлыки для браузеров.
 

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.
 

 

  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.
 
Подробнее читайте в этом руководстве.
 
Сделайте лог MBAM. Подробней: http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/
Ссылка на сообщение
Поделиться на другие сайты

Покажите скрин Свойств ярлыка Хрома.

 

P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1"

Скрин стандартный, но там просто "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" без всяких  --profile-directory="Profile 1

 

Покажите скрин Свойств ярлыка Хрома.

 

P.S. Должно быть типа: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --profile-directory="Profile 1"

Скрин стандартный, но там просто "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" без всяких  --profile-directory="Profile 1

 

Речь шла о ярлыки, который был на Р.Столе. Но запускали мы Хром в основном через Панель задач, где свойства Хрома были непонятны. И вот: после выполнения скрипта от mike 1 этот Хром перестал запускаться, ссылаясь на ошибочный url. Что и требовалось доказать. Удалили его с панели задач. Хром запускается без рекламы. Будем работать дальше с HJT...

 

Пересоздайте ярлыки для браузеров.

Да, конечно.

Отправить карантин через форму не удалось, ибо пишет: 

Unfortunately, there is a fault on the server. We are very sorry for the inconvenience; our specialists are currently working on the problem and normal service will be resumed shortly.

 

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
O4 - HKLM\..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
 
Пересоздайте ярлыки для браузеров.

 

 

 

Пофиксили в HiJackThis все строки, кроме:

строки с Mobogenie\DaemonProcess.exe не было, да и в соответствующей папки этого не было, а всё, что было удалили вручную (был один htm-файл)

AdwCleanerR1.txt

hijackthis.log

MBAM запустили, просканировали, нашел 5 чего-то там (Detected), мы давай фиксить, пофиксил, тут же перезагрузилось, не успели записать лог.

отчет малбар.txt

Ссылка на сообщение
Поделиться на другие сайты

Строгое предупреждение от модератора Roman_Five
удалено!

 

Сообщение от модератора Roman_Five
тему уже в разделе "УВ".
Изменено пользователем Roman_Five
Ссылка на сообщение
Поделиться на другие сайты
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\UserPC16\AppData\Local\Yandex
Folder Found C:\Users\UserPC16\AppData\LocalLow\Yandex
Folder Found C:\Users\UserPC16\AppData\Roaming\Yandex
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

 

 

Лог MBAM нужен полного сканирования. Подробней как сделать этот лог описано здесь http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/

Ссылка на сообщение
Поделиться на другие сайты

 

  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan".
  • По окончанию сканирования снимите галочки со следующих строк:
Folder Found C:\Program Files (x86)\Yandex
Folder Found C:\ProgramData\Yandex
Folder Found C:\Users\UserPC16\AppData\Local\Yandex
Folder Found C:\Users\UserPC16\AppData\LocalLow\Yandex
Folder Found C:\Users\UserPC16\AppData\Roaming\Yandex
  • Нажмите кнопку "Clean" и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!.
 
Подробнее читайте в этом руководстве.
 

Откройте AVZ - сервис - поиск данных в реестре. В поле "образец" впишите webalta, нажмите "пуск" после окончания сохраните протокол и выложите сюда.

 

 

Лог MBAM нужен полного сканирования. Подробней как сделать этот лог описано здесь http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware.16050/

 

Спасибо за помощь. К сожалению, сегодня выполнить Ваши рекомендации полностью нет возможности. Продолжим завтра.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...