Всплывающие окна в Google Chrome

[IT-Obereg 0]

В Google Chrome при посещении некоторых сайтов (не зависит от самого сайта) справа в адресной строке появляется иконка "всплывающее окно заблокировано", где отображается огромное количество ссылок. В этот момент даже подвисает браузер. Чистка инструментами Chrome и тремя антивирусниками не помогла. Вредоносных расширений не установлено.
Прилагаю логи и скриншот.

CollectionLog-2017.04.17-15.10.zip

Изменено 17 апреля, 2017 пользователем IT-Obereg

[thyrex 1 468]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\system32\wsaudio.dll','');
 DeleteFile('C:\WINDOWS\system32\wsaudio.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

[IT-Obereg 0]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\system32\wsaudio.dll','');
 DeleteFile('C:\WINDOWS\system32\wsaudio.dll','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Не вижу ссылку в красной надписи "Прислать запрошенный карантин". Все вышеописанное проделал, прикрепляю сюда логи.

CollectionLog-2017.04.18-11.09.zip

ClearLNK-18.04.2017_11-05.log

[thyrex 1 468]

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[IT-Obereg 0]

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

 

Проделал все процедуры.

Полученный ответ от newvirus@kaspersky.com:

[KLAN-6125216405]

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700

http://www.kaspersky.com http://www.viruslist.com"

 

Прикрепляю отчет Fabar Recovery Scan Tool.

Проблема со startup_urls, которые находятся в файле SecurePreferences, при каждом входе в браузер файл заново перезаписывается, и там появляются эти startup_urls.

Как от них избавиться?

FRST.rar

[thyrex 1 468]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1028700140-1690209536-1601723468-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{e0ff9a00-a208-4dad-b2b9-37e454b00d7b}: [NameServer] 91.109.206.194,91.158.96.96
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.yandex.ru/?win=97&clid=1985535","hxxp://www.google.com/","hxxp://www.sweet-page.com/?type=hp&ts=1401811792&from=cor&uid=HGSTXHTS725050A7E630_TF0500WH1NJK7L1NJK7LX","hxxp://www.sweet-page.com/?type=hppp&ts=1401812141&from=cor&uid=HGSTXHTS725050A7E630_TF0500WH1NJK7L1NJK7LX","hxxp://mail.ru/cnt/10445?gp=openpart3","hxxp://mail.ru/cnt/10445?gp=811036"
S2 wsaudio; C:\WINDOWS\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation)
S2 wsaudio; C:\WINDOWS\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation)
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[IT-Obereg 0]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1028700140-1690209536-1601723468-1001\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Tcpip\..\Interfaces\{e0ff9a00-a208-4dad-b2b9-37e454b00d7b}: [NameServer] 91.109.206.194,91.158.96.96
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.yandex.ru/?win=97&clid=1985535","hxxp://www.google.com/","hxxp://www.sweet-page.com/?type=hp&ts=1401811792&from=cor&uid=HGSTXHTS725050A7E630_TF0500WH1NJK7L1NJK7LX","hxxp://www.sweet-page.com/?type=hppp&ts=1401812141&from=cor&uid=HGSTXHTS725050A7E630_TF0500WH1NJK7L1NJK7LX","hxxp://mail.ru/cnt/10445?gp=openpart3","hxxp://mail.ru/cnt/10445?gp=811036"
S2 wsaudio; C:\WINDOWS\System32\svchost.exe [44496 2016-07-16] (Microsoft Corporation)
S2 wsaudio; C:\WINDOWS\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation)
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

 

Прикрепляю.

 

Fixlog.txt

[thyrex 1 468]

Что с проблемой?

[IT-Obereg 0]

Что с проблемой?

Кажется, исчезла. Посерфил в интернете 10 минут - ничего не вылезло. Спасибо! Надеюсь, что не всплывет снова)

[thyrex 1 468]

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

[IT-Obereg 0]

 

• Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Скопируйте содержимое файла в свое следующее сообщение.

 

Здравствуйте. Проблема снова возникла. Периодически блокируются всплывающие окна.

Проверил данной программой, прикладываю логи.

SecurityCheck.txt

[thyrex 1 468]

Тогда лучше начать с новых логов Autologger