Рекламные страницы и автозапуск Chrome при запуске Windows

[MadHawk]

После запуска Windows автоматически запускается Google Chrome  и открывает рекламную страницу.
AdwCleaner находит и удаляет записи, но после перезагрузки они создаются заново.

CollectionLog-2016.09.26-11.14.zip

AdwCleanerS4.txt

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('G:\autorun.inf', '');
 QuarantineFile('C:\Users\Invasion Labs\Favorites\Links\Интернет.url', '');
 DeleteFile('C:\Users\Invasion Labs\Favorites\Links\Интернет.url');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','knbxaenlff');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
  • Политики IE
  • Политики Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. (цифра будет другая)
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[MadHawk]

Сделал. Файл quarantine.zip отправил на почту. Отчет прикрепляю.

 

AdwCleanerS6.txt

[Sandor]

1.

• Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
  • Политики IE
  • Политики Chrome
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C6].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

2.

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[MadHawk]

Сделано.

AdwCleanerS7.txt

FRST.txt

Addition.txt

Shortcut.txt

[Sandor]

Будьте внимательны, Вы прикрепили отчет очередного сканирования, а не очистки

отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C6].txt

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://isearch.avg.com/?cid={9BC616B1-08AD-488F-A654-7014C3F58385}&mid=f7cf4dd5431f47d092bc252442343f86-489ec34592c96cf753b7436772b9b5a20d27607d&lang=ru&ds=hk015&pr=sa&d=2013-03-20 22:33:34&v=14.2.0.1&pid=avg&sg=&sap=hp","hxxp://mysearch.avg.com/?cid={1A860A1A-65B3-43C4-A3ED-828EDDA7642A}&mid=f7cf4dd5431f47d092bc252442343f86-489ec34592c96cf753b7436772b9b5a20d27607d&lang=en&ds=uf011&pr=sa&d=2013-06-24 09:36:48&v=15.2.0.5&pid=safeguard&sg=0&sap=hp","hxxp://www.mail.ru/cnt/9516","hxxp://isearch.omiga-plus.com/?type=hp&ts=1418572266&from=cor&uid=FUJITSUXMHZ2320BHXG1_K60AT8726MNET8726MNEX","hxxp://www.mystartsearch.com/?type=hp&ts=1424171143&from=cmi&uid=ST3250318AS_9VY9HXP2XXXX9VY9HXP2","hxxp://www.mystartsearch.com/?type=hppp&ts=1424171192&from=cmi&uid=ST3250318AS_9VY9HXP2XXXX9VY9HXP2","hxxp://mail.ru/cnt/7993/","hxxp://www.yandex.ru/?win=97&clid=2052585","hxxps://www.google.ru/?gfe_rd=cr&ei=WdchV7G4Oq-7ygWU1I3oCw&gws_rd=ssl#newwindow=1&q=pieserch+delete+from+chrome","hxxps://www.techsupportall.com/how-to-remove-piesearch-com-homepage-removal-help/"
2016-09-23 11:18 - 2016-09-23 11:18 - 00000000 ____D C:\Users\Invasion Labs\AppData\Local\Поиcк в Интeрнете
Task: {1EFD2331-4DD8-4E29-9BA1-9FA016422ADE} - System32\Tasks\syslog => C:\Users\Invasion Labs\AppData\Local\syslog\syslog.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfqfh [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:jhqduwvxlctbqqijsf`usjbm`bfqfh [0]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Сообщите что с проблемой.

[MadHawk]

Google Chrome сам не запускается и не выдает "левых" страниц, но AdwCleaner по-прежнему находит те же самые 8 угроз.

Fixlog.txt

AdwCleanerC7.txt

AdwCleanerC8.txt

AdwCleanerS8.txt

Fixlog.txt

[Sandor]

Синхронизация аккаунта в Хроме включена? Если да, отключите и еще раз повторите очистку в AdwCleaner.

[MadHawk]

Сделал

Сейчас провел еще одну проверку, пишет, что не нашел вредоносных объектов. Но как быть с снхронизацией?

AdwCleanerC9.txt

[Sandor]

Синхронизация аккаунта в Хроме включена?

не ответили.

Ага, сейчас включите и синхронизируйте.

[MadHawk]

Стоило подключить аккаунт, как тут же выползли те же 8 угроз.

Снова вышел из аккаунта и снял все галки в настройках синхронизации, после этого еще раз прошелся AdwCleaner'ом. После перезагрузки провел еще одно сканирование, пишет, что угроз нет. 
Как теперь быть? Вообще не подключать аккаунт Гугл? Так он нужен, иначе в почту не зайти.

AdwCleanerC10.txt

[Sandor]

Устройство, с которым происходит синхронизация, включено? Временно выключить можете?