Самопроизвольно открывается новая вкладка с рекламой в Chrome

[Константин Макаров]

После очередного сёрфинга по интернету, с целью скачать и установить прогу для редактирования pdf фалов (естественно в процессе было скачано и запущено несколько сомнительных установщиков ) быстро и хитро установился амиго+поиск от мэйл.ру и прочее. Всё это было 07.03 (в логах увидите). В общем в результате, теперь периодически самопроизвольно открывается вкладка с рекламой(от вулкана до рунеток) в хроме. Почистил кэш браузеров, dns кэш и куки (тк год назад примерно сталкивался с этой проблемой уже - https://forum.kaspersky.com/index.php?showtopic=347546&st=0&gopid=2568417&&do=findComment&comment=2568417),но это всё не помогло. Вкладка так и открывается, при чем не важно запущен хром или нет.

Логи прилагаю.

 

Почитав соседние ветки, пришёл к выводу что логер FRST здесь тоже нужен, поэтому  решил сразу прикрепить и его логи.

CollectionLog-2017.03.11-01.24.zip

FRST.rar

[Roman_Five]

Пофиксите в HiJackThis:

O22 - Ready: andyounnewsorgthronesm - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe andyounnews.org/thronesm (Google Inc)
O22 - Running: andyounnewsorgthrone - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe andyounnews.org/throne (Google Inc)

http://forum.kasperskyclub.ru/index.php?showtopic=7607&do=findComment&comment=78496

Удалите все, что не нужно, из этого:

2017-03-07 01:09 - 2017-03-07 01:09 - 00000000 ____D C:\Users\ROCKfeller\AppData\Roaming\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00001473 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Advanced PDF Editor.lnk
2017-03-07 01:07 - 2017-03-07 01:07 - 00001461 _____ C:\Users\Public\Desktop\Foxit Advanced PDF Editor.lnk
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\Все пользователи\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\Все пользователи\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\ROCKfeller\AppData\Roaming\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\ProgramData\Foxit Advanced PDF Editor
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\ProgramData\Aspell
2017-03-07 01:07 - 2017-03-07 01:07 - 00000000 ____D C:\Program Files (x86)\Foxit Software
2017-03-07 01:06 - 2017-03-07 01:06 - 00019213 _____ C:\Users\ROCKfeller\Downloads\Foxit Advanced PDF Editor v3.10 Final + RePack by KpoJIuK.[tfile.me].torrent
2017-03-07 01:06 - 2017-03-07 01:06 - 00000000 ____D C:\Users\ROCKfeller\Downloads\Foxit Advanced PDF Editor v3.10 Final Ml_Rus
2017-03-07 01:05 - 2017-03-07 01:05 - 01802224 ____R (©Treohitki ) C:\Users\ROCKfeller\Downloads\foxit_advanced_pdf_editor_v3_10_final_repack_by_kpojiuk_tfile_me_torrent.exe
2017-03-07 01:04 - 2017-03-07 01:04 - 00000495 _____ C:\Users\ROCKfeller\Downloads\foxit_advanced_pdf_editor_v3_10_final_repack_by_kpojiuk_tfile_me_torrent.torrent
2017-03-07 00:53 - 2017-03-07 00:53 - 00003754 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthrone
2017-03-07 00:42 - 2017-03-08 03:09 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Mail.Ru
2017-03-07 00:42 - 2017-03-08 03:09 - 00000000 ____D C:\Program Files (x86)\Mail.Ru
2017-03-07 00:42 - 2017-03-08 02:37 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Unity
2017-03-07 00:42 - 2017-03-07 00:54 - 00000000 ____D C:\Users\ROCKfeller\AppData\LocalLow\Unity
2017-03-07 00:42 - 2017-03-07 00:42 - 00003762 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthronesm
2017-03-07 00:42 - 2017-03-07 00:42 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2017-03-07 00:42 - 2017-03-07 00:42 - 00000000 ____D C:\ProgramData\Mail.Ru
2017-03-07 00:38 - 2017-03-07 00:38 - 00190349 _____ C:\Users\ROCKfeller\Documents\Декларация по УСН за 2016 год в ИФНС 7751-Copy.pdf
2017-03-07 00:37 - 2017-03-07 00:48 - 00000000 ____D C:\Users\ROCKfeller\AppData\Roaming\Wondershare
2017-03-07 00:37 - 2017-03-07 00:37 - 00000000 ____D C:\Users\Все пользователи\Wondershare
2017-03-07 00:37 - 2017-03-07 00:37 - 00000000 ____D C:\Users\ROCKfeller\AppData\Local\Wondershare
2017-03-07 00:37 - 2017-03-07 00:37 - 00000000 ____D C:\ProgramData\Wondershare
2017-03-07 00:36 - 2017-03-07 00:48 - 00000000 ____D C:\Users\Public\Documents\Wondershare
2017-03-07 00:36 - 2017-03-07 00:36 - 00808592 _____ C:\Users\ROCKfeller\Downloads\pdfelement_setup_full1140.exe

А где Вы взяли эту сборку автологгера?

Внимание !!! База поcледний раз обновлялась 09.02.2017 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.46 private build

 

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:

Task: {A155C664-4393-4848-9235-B8AC3232FCD2} - System32\Tasks\andyounnewsorgthronesm => Chrome.exe andyounnews.org/thronesm <==== ATTENTION
Task: {F571B3B3-8C29-4D66-A143-76CE66FCFCFD} - System32\Tasks\andyounnewsorgthrone => Chrome.exe andyounnews.org/throne <==== ATTENTION
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (Chrome Media Router) - C:\Users\ROCKfeller\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-02-10]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKU\S-1-5-21-2211980588-2829745237-2994802744-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2017-03-07 00:53 - 2017-03-07 00:53 - 00003754 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthrone
2017-03-07 00:42 - 2017-03-07 00:42 - 00003762 _____ C:\WINDOWS\System32\Tasks\andyounnewsorgthronesm

Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

 

Исправьте через AVZ -> Файл -> Мастер поиска и устранения проблем -> Все проблемы -> Поиск -> Отметить указанное -> Исправить

>> Нарушение ассоциации SCR файлов

Повторите лог автологгера.

Изменено 11 марта, 2017 пользователем Roman_Five

[Константин Макаров]

Здравствуйте!

Прошу прощения, за долгий ответ, только нашлось время заняться домашним компьютером.

 

Файлы из списка поудалял почти все, но некоторых не было уже (например C:\WINDOWS\System32\Tasks\andyounnewsorgthronesm и C:\WINDOWS\System32\Tasks\andyounnewsorgthrone )

 

Сборку автологера качал отсюда - https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]. Попробовал обновить базы, но раздел с обновлением серый и не активен. Зашёл на сайт Зайцева, скачал новую AVZ запустил, обновление заработало, обновил и исправил ошибку ассоциации scr.

 прилагаю логи, которые вы указали.

Прилагаю так же лог автологера, но он сделан при помощи той же сборки.

Поэтому дополнительно прилагаю лог AVZ с нвыми базами, которую я скачал отдельно.

Fixlog.txt

CollectionLog-2017.03.14-01.39.zip

avz_log.txt

[Sandor]

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Константин Макаров]

Сделал.

После манипуляций выше, проблема вроде ушла. Но в логах AdwCleaner всё же есть угрозы.

AdwCleanerS0.txt

[Sandor]

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome

    и нажмите Ok.

• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Константин Макаров]

Сделал!

AdwCleanerC0.txt

[Sandor]

Если проблема решена, завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Константин Макаров]

Сделал! Благодарю за помощь, проблема решена!)

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.33 v.7.33.105 Внимание! Скачать обновления

^Необязательное обновление.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 101 (64-bit) v.8.0.1010.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u121-windows-x64.exe)^

Java SE Development Kit 8 Update 72 (64-bit) v.8.0.720.15 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jdk-8u121-windows-x64.exe)^

------------------------------- [ Browser ] -------------------------------

Google Chrome v.56.0.2924.87 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Opera Stable 43.0.2442.1144 v.43.0.2442.1144 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Прочтите и выполните Рекомендации после удаления вредоносного ПО