Рекламный вирус?

[Strike]

Уехал в командировку в Питер, по приезду обнаружил, что мои домашние чего-то натворили. В общем касается только браузера Хром. Миллион баннеров, всплывающих окон, переходы на левые сайты и т.д. антибанер Касперского выключен, включил, всё равно примерно тоже самое. Касперыч ничего не нашел. скачал несколько программ антирекламных adwcleaner, zemana и т.д. Гонял их целый день по кругу. adwcleaner ругался на надстройку в Хроме, я её нашел, удалил (какая-то там компактная версия музыки, логи от adwcleaner до и после тоже приложу).  В итоге, вроде бы всё пропало, все проверки в норме, баннеры ушли, переходы на сайты левые ушли.  Но осталась невозможность перейти по ссылке, и вообще никак не зайти сайт Adguard, сначала вместо него реклама какая-то на весь экран, теперь вообще просто черный экран с белой точкой в центре (как-будто заблокированной рекламой). То есть какие-то следы остались. Вот такая беда, прошу помощи.

 

 

AdwCleanerS0.txt

AdwCleanerS5.txt

CollectionLog-2017.05.21-10.39.zip

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) Spybot - Search & Destroy 2 и Zemana AntiMalware - рекомендую удалить.

 

3) "Пофиксите" в HijackThis:

O20-32 - Winlogon Notify: SDWinLogon -  (file missing)

 

4)

Extension pjejbgheonogbpfkkjigbmahaljipoej 1 Weather Underground 1.9

Это расширение вам знакомо?

 

5) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

ЗЫ, Чистилка, HitmanPro - если ещё не удалили, то также советую удалить.

[Strike]

1) А какую именно ссылку? Вот две

на результат анализа

https://virusinfo.info/virusdetector/report.php?md5=C932F818F59D0131EEC23230DA3B11D6

 

и обсуждение результатов анализа

https://virusinfo.info/showthread.php?t=212318

 

2) Удалил

 

3) Не нашёл такого пункта (лог приложил)

 

4) расширение знакомо, но вроде уже давно его удалил.

 

5) Выполнил, прилагаю

 

П.С. Доступ к сайту Adguard блокируется при включенном касперском, при выключенном - сайт загружается. 

 

Addition.txt

FRST.txt

Shortcut.txt

HiJackThis.log

Изменено 21 мая, 2017 пользователем Strike

[regist]

1) Дочистим хвосты

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  CHR Extension: (Weather Underground) - C:\Users\diagn\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjejbgheonogbpfkkjigbmahaljipoej [2016-01-30]
  R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [203680 2017-05-20] (Zemana Ltd.)
  S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]
  2017-05-21 10:10 - 2017-05-21 10:11 - 00000000 ____D C:\ProgramData\Чистилка
  2017-05-20 12:45 - 2017-05-20 12:56 - 00000000 ____D C:\ProgramData\HitmanPro
  2017-05-20 12:35 - 2017-05-21 12:11 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
  2017-05-20 10:41 - 2017-05-21 12:21 - 00000000 ____D C:\Program Files (x86)\Zemana AntiMalware
  2017-05-20 10:41 - 2017-05-21 12:12 - 00279219 _____ C:\WINDOWS\ZAM.krnl.trace
  2017-05-20 10:41 - 2017-05-20 10:41 - 00203680 _____ (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zamguard64.sys
  2017-05-20 10:41 - 2017-05-20 10:41 - 00000000 ____D C:\Users\diagn\AppData\Local\Zemana
  2017-01-05 21:10 - 2017-01-05 21:12 - 0000000 _____ () C:\Users\diagn\AppData\Local\{2348C1BA-6802-44EA-9539-530B423C6589}
  2016-10-28 10:51 - 2017-05-20 09:28 - 0000260 _____ () C:\ProgramData\fontcacheev1.dat
  2017-01-03 15:57 - 2017-01-22 10:11 - 0010941 _____ () C:\ProgramData\NvTelemetryContainer.log
  2017-01-03 15:57 - 2017-01-14 12:58 - 0007609 _____ () C:\ProgramData\NvTelemetryContainer.log_backup1
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.[/code]
 

2) Если проблема осталась, то отключите в браузере

CHR Extension: (Adblock Plus) - C:\Users\diagn\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-04-08]
CHR Extension: (friGate CDN - бесперебойный доступ к сайтам) - C:\Users\diagn\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbacbcfdfaapbcnlnbmciiaakomhkbkb [2017-04-30]

и проверьте проблему.

[Strike]

Пока вроде бы всё нормально. Не наблюдаю никакой лишней активности.

 

Fixlog.txt

[regist]

 

 

2) Если проблема осталась, то отключите в браузере

Делали или не понадобилось? Если отключили, то включайте по одному и смотрите из-за какого проблема. Его название напишите здесь.

[Strike]

 

2) Если проблема осталась, то отключите в браузере

Делали или не понадобилось? Если отключили, то включайте по одному и смотрите из-за какого проблема. Его название напишите здесь.

 

Нет, не понадобилось.

[regist]

Значит всё-таки из-за Weather Underground была проблема.

 

папку C:\FRST удалите.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.