Перейти к содержанию

Самопроизвольно открывается новая вкладка с рекламой в Chrome


Рекомендуемые сообщения

Константин Макаров
Опубликовано

После очередного сёрфинга по интернету, с целью скачать и установить прогу для редактирования pdf фалов (естественно в процессе было скачано и запущено несколько сомнительных установщиков ) быстро и хитро установился амиго+поиск от мэйл.ру и прочее. Всё это было 07.03 (в логах увидите). В общем в результате, теперь периодически самопроизвольно открывается вкладка с рекламой(от вулкана до рунеток) в хроме. Почистил кэш браузеров, dns кэш и куки (тк год назад примерно сталкивался с этой проблемой уже - https://forum.kaspersky.com/index.php?showtopic=347546&st=0&gopid=2568417&&do=findComment&comment=2568417),но это всё не помогло. Вкладка так и открывается, при чем не важно запущен хром или нет.

Логи прилагаю.

 


Почитав соседние ветки, пришёл к выводу что логер FRST здесь тоже нужен, поэтому  решил сразу прикрепить и его логи.

CollectionLog-2017.03.11-01.24.zip

FRST.rar

Опубликовано (изменено)

Пофиксите в HiJackThis:

O22 - Ready: andyounnewsorgthronesm - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe andyounnews.org/thronesm (Google Inc)
O22 - Running: andyounnewsorgthrone - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe andyounnews.org/throne (Google Inc)

http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496


Удалите все, что не нужно, из этого:


2017-03-07 01:09 - 2017-03-07 01:09 - 00000000 ____D C:\Users\ROCKfeller\AppData\Roaming\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00001473 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Advanced PDF Editor.lnk
2017-03-07 01:07 - 2017-03-07 01:07 - 00001461 _____ C:\Users\Public\Desktop\Foxit Advanced PDF Editor.lnk
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\Все пользователи\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\Все пользователи\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\ROCKfeller\AppData\Roaming\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\ProgramData\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\ProgramData\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Program Files (x86)\Foxit Software
2017-03-07 01:06 - 2017-03-07 01:06 - 00019213 _____ C:\Users\ROCKfeller\Downloads\Foxit Advanced PDF Editor v3.10 Final + RePack by KpoJIuK.[tfile.me].torrent
2017-03-07 01:06 - 2017-03-07 01:06 - 00000000 ____D C:\Users\ROCKfeller\Downloads\Foxit Advanced PDF Editor v3.10 Final Ml_Rus
2017-03-07 01:05 - 2017-03-07 01:05 - 01802224 ____R (©Treohitki ) C:\Users\ROCKfeller\Downloads\foxit_advanced_pdf_editor_v3_10_final_repack_by_kpojiuk_tfile_me_torrent.exe
2017-03-07 01:04 - 2017-03-07 01:04 - 00000495 _____ C:\Users\ROCKfeller\Downloads\foxit_advanced_pdf_editor_v3_10_final_repack_by_kpojiuk_tfile_me_torrent.torrent
2017-03-07 00:53 - 2017-03-07 00:53 - 00003754 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthrone
2017-03-07 00:42 - 2017-03-08 03:09 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Mail.Ru
2017-03-07 00:42 - 2017-03-08 03:09 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2017-03-07 00:42 - 2017-03-08 02:37 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Unity
2017-03-07 00:42 - 2017-03-07 00:54 - 00000000 ____D C:\Users\ROCKfeller\AppData\LocalLow\Unity
2017-03-07 00:42 - 2017-03-07 00:42 - 00003762 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthronesm
2017-03-07 00:42 - 2017-03-07 00:42 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2017-03-07 00:42 - 2017-03-07 00:42 - 00000000 ____D C:\ProgramData\Mail.Ru
2017-03-07 00:38 - 2017-03-07 00:38 - 00190349 _____ C:\Users\ROCKfeller\Documents\Декларация по УСН за 2016 год в ИФНС 7751-Copy.pdf
2017-03-07 00:37 - 2017-03-07 00:48 - 00000000 ____D C:\Users\ROCKfeller\AppData\Roaming\Wondershare
2017-03-07 00:37 - 2017-03-07 00:37 - 00000000 ____D C:\Users\Все пользователи\Wondershare
2017-03-07 00:37 - 2017-03-07 00:37 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Wondershare
2017-03-07 00:37 - 2017-03-07 00:37 - 00000000 ____D C:\ProgramData\Wondershare
2017-03-07 00:36 - 2017-03-07 00:48 - 00000000 ____D C:\Users\Public\Documents\Wondershare
2017-03-07 00:36 - 2017-03-07 00:36 - 00808592 _____ C:\Users\ROCKfeller\Downloads\pdfelement_setup_full1140.exe

А где Вы взяли эту сборку автологгера?

Внимание !!! База поcледний раз обновлялась 09.02.2017 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46 private build

 


Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:

Task: {A155C664-4393-4848-9235-B8AC3232FCD2} - System32\Tasks\andyounnewsorgthronesm => Chrome.exe andyounnews.org/thronesm <==== ATTENTION
Task: {F571B3B3-8C29-4D66-A143-76CE66FCFCFD} - System32\Tasks\andyounnewsorgthrone => Chrome.exe andyounnews.org/throne <==== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (Chrome Media Router) - C:\Users\ROCKfeller\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-10]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-2211980588-2829745237-2994802744-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2017-03-07 00:53 - 2017-03-07 00:53 - 00003754 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthrone
2017-03-07 00:42 - 2017-03-07 00:42 - 00003762 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthronesm

Reboot:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
 
Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> Поиск -> Отметить указанное -> Исправить
>> Нарушение ассоциации SCR файлов


Повторите лог автологгера.

Изменено пользователем Roman_Five
Константин Макаров
Опубликовано

Здравствуйте!

Прошу прощения, за долгий ответ, только нашлось время заняться домашним компьютером.

 

Файлы из списка поудалял почти все, но некоторых не было уже (например C:\WINDOWS\System32\Tasks\andyounnewsorgthronesm и C:\WINDOWS\System32\Tasks\andyounnewsorgthrone )

 

Сборку автологера качал отсюда - https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]. Попробовал обновить базы, но раздел с обновлением серый и не активен. Зашёл на сайт Зайцева, скачал новую AVZ запустил, обновление заработало, обновил и исправил ошибку ассоциации scr.

 прилагаю логи, которые вы указали.


Прилагаю так же лог автологера, но он сделан при помощи той же сборки.

Поэтому дополнительно прилагаю лог AVZ с нвыми базами, которую я скачал отдельно.

Fixlog.txt

CollectionLog-2017.03.14-01.39.zip

avz_log.txt

Опубликовано

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Константин Макаров
Опубликовано

Сделал.

После манипуляций выше, проблема вроде ушла. Но в логах AdwCleaner всё же есть угрозы.

AdwCleanerS0.txt

Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Опубликовано

Если проблема решена, завершаем:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.
Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
  • 2 недели спустя...
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^

Java SE Development Kit 8 Update 72 (64-bit) v.8.0.720.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u121-windows-x64.exe)^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.56.0.2924.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • trotnl
      Автор trotnl
      Недавно мной были замечены странные видео в истории просмотра, которые я, естественно, не смотрел, решил проверить в чем проблема, выяснилось что у меня появилось неизвестного происхождения расширение которое маскируется под adblock, где при переходе на сайт разработчика выходит фейковый сайт (см. прикрепленные фото)

       
       
      Решил удалить напрямую из папки расширений браузера, но это тоже не помогло, они просто подгрузились обратно, далее провел проверку программой Dr.Web CureIt! который нашел следующие проблемы:
       
       

      Также прикрепляю логи: CollectionLog-2026.01.31-13.40.zip Addition.txtFRST.txtAdwCleaner[C00].txt
    • Anov
      Автор Anov
      Приветствую.
       
      В браузере Хром (последняя актуальная версия 139.0.7258.155 (Official Build) (64-bit)) перестал открываться rutube.ru, а при открытии mail.ru осуществляется автоматическая переадресация по следующей ссылке:
      https://login.vk.ru/?act=autologin&app_id=7539952&redirect_uri=https%3A%2F%2Faccount.mail.ru%2Flogin%3Fautologin_exp%3Dv22%26autologin_project%3Dhome%26page%3Dhttps%253A%252F%252Fmail.ru%252F%253Fautologin%253D1756488860&state=1c24daff65f840b3a7e4a9f23ba48ed4&uuid=be92f27a-20cb-4cdb-ac4f-33146b52a367&service_group=oid_4g6qyMre3BeNR1zbhCi3k
       
      В другом браузере на этом же компьютере (Edge) и rutube.ru, и mail.ru открываются без проблем.
       
      Очистка flushdns не помогает. Сканирование через AVZ, MalwareBytes and Windows Defender никаких проблем не выявляет.  
      Операционка на ноуте - Windows 10 Home 22H2, Build 19045.6216
       
      Заранее благодарю за дальнейшие рекомендации и инструкции.

    • godstar
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • Devilhomer
      Автор Devilhomer
      Здравствуйте, уже НЕОДНОКРАТНО замечал, что при обновлении программных модулей удаляются закладки Google Chrome, сделанные в безопасном режиме (они доступны, только в безопасном режиме). Не обращался по данной проблеме, потомучто не так их много было, но тут (при недавнем обновлении) пропали довольно важные
      Также хочется отметить ОЧЕНЬ длительное открытие вкладок при переходе в безопасный режим. Отсылал отчеты из приложения о данной проблеме, но пока не заметил существенных изменений по данному вопросу.
    • Specture
      Автор Specture
      В папке C:/ProgramData/google/chrome засел самовосстанавливающиеся вирус updater.exe, скорее всего майнер. Пытался удалить разными способами, но восстанавливается сам. Нагружает процессор, портит железо. Периодически вылетают синие экраны, предположительно тоже из за него. Как я могу его удалить?

×
×
  • Создать...