Открывается рекламная ссылка в Хроме

@Tipograf · Регистрация: 28.01.2017

Author24 — интернет-сервис помощи студентам

На компе был запущен экзешник с зловредами:
- поиск в яндексе стал перекидывать на mail
- периодически в хроме открывается рекламная страница
- в процессах появился zaxarloader (и в автозагрузке соответственно), и на компе появилась папка с zaxar browser
- в хроме добавились левые расширения
Я запустил Malwarebytes и отправил в карантин все, что он нашел (лог прикрепил к теме)
Удалил все левые расширения в хроме, отключил все остальные.
После перезагрузки осталась только проблема с открывающейся рекламной вкладкой в хроме.
Запустил DrWeb Cureit, тот удалил Adware.OpenCandy.210
Но проблема не ушла.

Прошу помощи!

@severnyj · 28.01.2017, 17:52

Выполните скрипт в AVZ

Код

begin
 ExecuteFile('schtasks.exe', '/delete /TN "httpnewsfor24klocomglasssm" /F', 0, 15000, true);
RebootWindows(true);
end.

Будет выполнена перезагрузка компьютера.

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html

@Tipograf · 28.01.2017, 18:55 **[ТС]**

Спасибо!

Логи FRST:

@severnyj · 28.01.2017, 19:04

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKU\S-1-5-21-1696335549-3745894330-3197798665-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040
SearchScopes: HKU\S-1-5-21-1696335549-3745894330-3197798665-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B3653413A-6267-4B53-AD85-7D43C7969F52%7D&gp=811041
SearchScopes: HKU\S-1-5-21-1696335549-3745894330-3197798665-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B3653413A-6267-4B53-AD85-7D43C7969F52%7D&gp=811041
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\jjq3kya8.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\jjq3kya8.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\jjq3kya8.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Keyword.URL: Mozilla\Firefox\Profiles\jjq3kya8.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B3BF45CD1-D6B8-4467-A14F-7D570087C990%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\techdir\AppData\Roaming\Mozilla\Firefox\Profiles\jjq3kya8.default\Extensions\homepage@mail.ru [2017-01-25]
FF Extension: (Поиск@Mail.Ru) - C:\Users\techdir\AppData\Roaming\Mozilla\Firefox\Profiles\jjq3kya8.default\Extensions\search@mail.ru [2017-01-25]
FF Extension: (Foxit PDF Creator Toolbar) - C:\Users\techdir\AppData\Roaming\Mozilla\Firefox\Profiles\jjq3kya8.default\Extensions\toolbar@ask.com [2016-11-04] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\techdir\AppData\Roaming\Mozilla\Firefox\Profiles\jjq3kya8.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-25]
FF SearchPlugin: C:\Users\techdir\AppData\Roaming\Mozilla\Firefox\Profiles\jjq3kya8.default\searchplugins\gayevoy.xml [2015-11-30]
FF SearchPlugin: C:\Users\techdir\AppData\Roaming\Mozilla\Firefox\Profiles\jjq3kya8.default\searchplugins\mailru.xml [2017-01-25]
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811036"
CHR Extension: (Ads lock Pro блокировщик рекламы) - C:\Users\techdir\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilhjplneflambjgkgjklgmapkcmpioil [2017-01-25]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\techdir\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-19]
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR Extension: (Ghostery) - C:\Users\techdir\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlomiejdfkolichcflejclcbmpeaniij [2017-01-12]
OPR Extension: (Ghostery) - C:\Users\techdir\AppData\Roaming\Opera Software\Opera Stable\Extensions\bbkekonodcdmedgffkkbgmnnekbainbg [2017-01-28]
OPR Extension: (Browsec VPN - Privacy and Security Online) - C:\Users\techdir\AppData\Roaming\Opera Software\Opera Stable\Extensions\dknfpcdpbkjijldegonllfnnfhabjpde [2017-01-28]
2017-01-25 10:18 - 2017-01-25 10:18 - 00000000 ____D C:\Users\techdir\AppData\Local\ZaxarGameBrowser
2017-01-25 10:14 - 2017-01-28 12:55 - 00000000 ____D C:\Users\techdir\AppData\Local\Amigo
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: RD /S /Q %WinDir%\System32\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\System32\GroupPolicy
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicy
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicy
CMD: gpupdate /force
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически

@Tipograf · 28.01.2017, 19:37 **[ТС]**

Готово!

@severnyj · 28.01.2017, 19:45

Что с проблемой?

@Tipograf · 28.01.2017, 21:48 **[ТС]**

проблема ушла! спасибо!

@severnyj · 28.01.2017, 22:11

Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=838

Скачайте Delfix по этой ссылке
Установите галочки напротив следующих пунктов:

Activate UAC
Remove disinfection tools
Create registry backup
Purge system restore

Нажмите кнопку Run

@Tipograf · 28.01.2017, 22:17 **[ТС]**

Лог SecurityCheck

@severnyj · 28.01.2017, 22:27

Исправляйте, обновляйте:

Foxit Reader v.8.0.6.909 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
TeamViewer 11 v.11.0.66695 Внимание! Скачать обновления

Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления
^Необязательное обновление.^

Google Chrome v.55.0.2883.87 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 49.0.2 (x86 ru) v.49.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

И читайте: Рекомендации после удаления вредоносного ПО

@Tipograf · 28.01.2017, 22:33 **[ТС]**

ок, понял!

@severnyj · 28.01.2017, 22:34

Удачи

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	28.01.2017, 17:52	2
	Выполните скрипт в AVZ Код begin ExecuteFile('schtasks.exe', '/delete /TN "httpnewsfor24klocomglasssm" /F', 0, 15000, true); RebootWindows(true); end. Будет выполнена перезагрузка компьютера. Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html 1

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	28.01.2017, 19:45	6
	Что с проблемой? 0

@Tipograf 0 / 0 / 0 Регистрация: 28.01.2017 Сообщений: 6
	28.01.2017, 21:48 [ТС]	7
	проблема ушла! спасибо! 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	28.01.2017, 22:11	8
	Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=838 Скачайте Delfix по этой ссылке Установите галочки напротив следующих пунктов: Activate UAC Remove disinfection tools Create registry backup Purge system restore Нажмите кнопку Run 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	28.01.2017, 22:27	10
	Исправляйте, обновляйте: Foxit Reader v.8.0.6.909 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ TeamViewer 11 v.11.0.66695 Внимание! Скачать обновления Skype™ 7.30 v.7.30.105 Внимание! Скачать обновления *^Необязательное обновление.^* Google Chrome v.55.0.2883.87 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Mozilla Firefox 49.0.2 (x86 ru) v.49.0.2 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ И читайте: Рекомендации после удаления вредоносного ПО 0

@Tipograf 0 / 0 / 0 Регистрация: 28.01.2017 Сообщений: 6
	28.01.2017, 22:33 [ТС]	11
	ок, понял! 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,681
	28.01.2017, 22:34	12
	Удачи 0