произвольное появление cashalot.org в браузере Chrome

11 июля, 2017

Добрый день, с недавнего времени в Google Chrome при попытке открыть какие-либо страницы - изредка выполняется произвольный переход на сервис cashalot.org. Не понимаю, в чём дело, вредоносов антивирусное ПО не находит, прошу помощи у вас.

CollectionLog-2017.07.11-13.07.zip

Изменено 11 июля, 2017 пользователем Ирина Валькевич

11 июля, 2017

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: [Acronis Scheduler2 Service] C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe  (file missing) (HKLM) (2017/06/10)
O4 - MSConfig\startupreg: [AcronisTibMounterMonitor] C:\Program Files (x86)\Common Files\Acronis\TibMounter\TibMounterMonitor.exe (file missing) (HKLM) (2017/06/10)
O4 - MSConfig\startupreg: [HotKeysCmds] C:\Windows\system32\hkcmd.exe  (file missing) (HKLM) (2015/11/20)
O4 - MSConfig\startupreg: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe (file missing) (HKLM) (2017/06/10)

3)

Скачайте AdwCleaner и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
Прикрепите отчет к своему следующему сообщению.

4)

C:\Windows\lockpc.bat

Этот файл вам знаком?

11 июля, 2017

1. MD5 карантина: 47638E00C6256EA0195C1F8BFB22068D

2. сделано

3. сделано

4. да, знаком - файл самописный - отгонять ребенка от компьютера

AdwCleanerS0.txt

11 июля, 2017

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

11 июля, 2017

Отчёты

Shortcut.txt

Addition.txt

FRST.txt

12 июля, 2017

1)

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: F - F:\Setup.exe
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: K - K:\vs_ultimate.exe
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: S - S:\Горизонты_6.exe
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: {726b353c-419c-11e5-83ae-e03f494726f4} - F:\Setup.exe
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: {8a5c4791-91d6-11e5-a307-e03f494726f4} - Q:\setup.exe
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: {a6cb0fdc-a102-11e5-8dc9-e03f494726f4} - F:\Setup.exe
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: {aa9e9415-4e7f-11e5-8b16-e03f494726f4} - F:\Setup.exe
HKU\S-1-5-21-805092853-3162554302-1264185651-1000\...\MountPoints2: {edb31824-7291-11e6-bf11-e03f494726f4} - E:\Setup.exe
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
Toolbar: HKU\S-1-5-21-805092853-3162554302-1264185651-1000 -> No Name - {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [No File]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

2) Отключите все расширения в Хроме и проверьте проблему.

12 июля, 2017

1) готово

2) отключены лишние

пока вроде кашалот не появлялся, хоть и поработать удалось немного. какой-то неуловимый гад.

Fixlog.txt

12 июля, 2017

2) отключены лишние

включайте по одному и смотрите после какого появится проблема. Название потом напишите здесь.

произвольное появление cashalot.org в браузере Chrome

Рекомендуемые сообщения

Ирина Валькевич

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Ирина Валькевич

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Ирина Валькевич

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Ирина Валькевич

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum