Google Chrome делает редирект на левые сайты по клику мыши

@Svorg · Регистрация: 19.10.2015

Студворк — интернет-сервис помощи студентам

Добрый день! На компе была запущена вредительская программа Zaxar (и может быть что-то ещё?...)
Гугл переставлял полностью
Проверял строку "объект" ярлыка хрома (всё норм, только хромовский exe)
Удалял в реестре по слову "zaxar"
поставил доктор веб и прогнал разочек
Ничего не помогло.
Лог прикрепляю.
ПС: ещё периодически то гугл, то яндекс сообщают мне о подозрительном трафике с моей машины, просят ввести капчу или вообще обрубают доступ. Буду благодарен, если посоветуете какую-нибудь бесплатную программу для контроля исходящего с компа трафика.
Помогите пожалуйста, спасибо!

@Sandor · 20.10.2015, 09:39

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Svorg. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe','');
 QuarantineFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\extinst.exe','');
 QuarantineFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\config.json','');
 QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','');
 QuarantineFile('c:\program files\cg\cgclientstservice.exe','');
 DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32');
 DeleteFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\config.json','32');
 DeleteFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\extinst.exe','32');
 DeleteFile('C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe','32');
 ExecuteFile('schtasks.exe', '/delete /TN "LuckyBrowse" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ExtensionInstallerX_17" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять карантин не нужно!
Подготовьте лог сканирования AdwCleaner.

@Svorg · 20.10.2015, 11:53 **[ТС]**

Всё сделал, лог прикрепляю. (в AdwCleaner сделал только лог, очистку и деинсталяцию не нажимал)

@Sandor · 20.10.2015, 12:36

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте:
- Сброс настроек Proxy
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Svorg · 20.10.2015, 12:59 **[ТС]**

4 файла с логами прикрепил в архиве. AdwCleaner на этапе
"Очистите средствами AdwCleaner всё, кроме папок от mail.ru."
выдал сообщение, что вредоносных программ не нашёл. (во вкладке с папками уже было пусто, как и в других вкладках)
Редирект не наблюдаю, компьютер вылечен?

@Sandor · 20.10.2015, 13:33

Да, в логах тоже порядок.

В завершение:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Svorg · 20.10.2015, 16:32 **[ТС]**

Спасибо большое, Вы лучшие!

@Sandor · 20.10.2015, 16:39

Уязвимости:

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 40 v.8.0.400 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Svorg · 21.10.2015, 02:48 **[ТС]**

Система полетела почти полностью. Скачал explorer, начал ставить чуть-чуть проинсталился, вывалилась ошибка. Теперь в системе нет эксплорера, запускал от имени администратора, в безопасном режиме - без толку, курсор ожидания на 5 сек., и ничего ((

Добавлено через 1 час 15 минут
Восстановил винду её средствами, всё работает. Завтра дерзну всё-таки эксплорер обновить )

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .	SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	20.10.2015, 09:39
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Svorg. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe',''); QuarantineFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\extinst.exe',''); QuarantineFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\config.json',''); QuarantineFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe',''); QuarantineFile('c:\program files\cg\cgclientstservice.exe',''); DeleteFile('C:\ProgramData\TimeTasks\TimeTasksSetup.exe','32'); DeleteFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\config.json','32'); DeleteFile('C:\Users\Max\local settings\application data\ExtensionInstaller_17\extinst.exe','32'); DeleteFile('C:\Program Files (x86)\LuckyBrowse\app\luckybrowse.exe','32'); ExecuteFile('schtasks.exe', '/delete /TN "LuckyBrowse" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ExtensionInstallerX_17" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(22); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы. К сообщению прикреплять карантин не нужно! Подготовьте лог сканирования AdwCleaner. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	20.10.2015, 12:36
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте: Сброс настроек Proxy Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	20.10.2015, 13:33
	Да, в логах тоже порядок. В завершение: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22450 / 15905 / 3079 Регистрация: 08.10.2012 Сообщений: 64,808
	20.10.2015, 16:39
	Уязвимости: ------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено --------------------------------- [ IM ] ---------------------------------- Skype™ 7.8 v.7.8.102 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 40 v.8.0.400 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u60-windows-i586.exe)^ Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@Svorg 0 / 0 / 0 Регистрация: 19.10.2015 Сообщений: 5
	21.10.2015, 02:48 [ТС]
	Система полетела почти полностью. Скачал explorer, начал ставить чуть-чуть проинсталился, вывалилась ошибка. Теперь в системе нет эксплорера, запускал от имени администратора, в безопасном режиме - без толку, курсор ожидания на 5 сек., и ничего (( Добавлено через 1 час 15 минут Восстановил винду её средствами, всё работает. Завтра дерзну всё-таки эксплорер обновить ) 0