Заражен браузер chrome

@in sane · Регистрация: 18.06.2016

Студворк — интернет-сервис помощи студентам

Заражен браузер хром. Переустанавливал. Все сбрасывал и чистил в браузере. Стоит касперский. Пробовал chrome cleanup, пробовал avz.
Хром автоматически запускается со стартом системы на левых страницах. В процессе серфинга открываются левые страницы раз в пару минут. Прикрепляю лог, просьба срочно помочь. Спасибо

@in sane · 19.06.2016, 13:11 **[ТС]**

похоже не только браузер заражен. устанавливаются всякие преложения. пока антивирус их лечит

@Sandor · 20.06.2016, 11:45

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя in sane. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Kinoroom Browser

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\user\appdata\local\adobe\ppapi\aa37f9d6-1e2c-4ee0-8838-5ffb79fa122b', '*', true, '', 0 ,0);
 QuarantineFile('C:\Users\user\AppData\Local\Adobe\PPAPI\AA37F9D6-1E2C-4EE0-8838-5FFB79FA122B\4C7396D4-1983-4811-9DAF-54B7C5A24DC9.exe', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\{A03DA1F4-F55E-403E-84FB-B6FD1AD11D89}\drivers64.msi', '');
 DeleteFile('C:\WINDOWS\Tasks\{A03DA1F4-F55E-403E-84FB-B6FD1AD11D89}.job', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "AAA37F9D6-1E2C-4EE0-8838-5FFB79FA122B" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{A03DA1F4-F55E-403E-84FB-B6FD1AD11D89}" /F', 0, 15000, true);
 DeleteFile('C:\Users\user\AppData\Local\Adobe\PPAPI\AA37F9D6-1E2C-4EE0-8838-5FFB79FA122B\4C7396D4-1983-4811-9DAF-54B7C5A24DC9.exe', '32');
 DeleteFile('C:\Users\user\AppData\Local\Temp\{A03DA1F4-F55E-403E-84FB-B6FD1AD11D89}\drivers64.msi', '32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','rwdubvmpxc');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','AA37F9D6-1E2C-4EE0-8838-5FFB79FA122B');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте и прикрепите лог сканирования AdwCleaner.

@in sane · 20.06.2016, 13:09 **[ТС]**

Спасибо!
1) Kinoroom browser не удаляется через панель управления. Пишет недоступен.
2) Скрипт выполнил, архив карантина отправил
3) Прикрепляю лог сканирования AdwCleaner
Проблема не исчезла, в хроме все таже порнушка
жду дальнейших инструкций

@Sandor · 20.06.2016, 13:15

1.

Запустите повторно AdwCleaner (by TollsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки и отметьте дополнительно:
- Сброс настроек Proxy
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@in sane · 20.06.2016, 13:34 **[ТС]**

Бог вас не забудет! Все прошло, спасибо, отчет прилагаю

@Sandor · 20.06.2016, 13:37

Три отчета п.2 тоже сделайте.

@in sane · 20.06.2016, 14:50 **[ТС]**

высылаю
все прошло, но за 20 минут серфинга один раз все равно вылезла какая-то дрянь в хроме из того что раньше было.
плюс как мне удалить нежелательную программу kinoroom browser? через панель управления она нникак

@in sane · 20.06.2016, 14:54 **[ТС]**

кстати получилось только два отчета, а не три

Добавлено через 1 минуту
я заново установил мейл агент, никаких допов не устанавливал, может это он.. а как же без него совсем что ли

@Sandor · 20.06.2016, 15:04

Сообщение от in sane

получилось только два отчета, а не три

Значит не внимательно читали инструкцию

Сообщение от Sandor

Отметьте галочками также "Shortcut.txt".

Сообщение от in sane

заново установил мейл агент

Не торопитесь, лечение еще не закончено.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
URLSearchHook: HKU\S-1-5-21-2445809124-2658947995-1678092403-1001 - (No Name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
OPR Extension: (News Tab) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\aaebjepcfidgkojljbgoilgkgklehldj [2016-06-19]
OPR Extension: (Dolka.ru) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\pheobeikgpfdjfnlnhinkcogflmkcmlc [2014-04-21]
2016-06-15 19:52 - 2016-06-15 19:52 - 00000000 ____D C:\Users\user\AppData\Local\Вoйти в Интeрнет
2016-06-15 19:49 - 2016-06-18 11:38 - 00000000 ____D C:\Users\user\AppData\Roaming\Awesomium
2016-06-15 19:49 - 2016-06-15 19:49 - 00000000 ____D C:\Users\user\AppData\Local\Поиcк в Интeрнете
2016-06-16 09:55 - 2016-03-07 14:45 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-06-16 09:55 - 2016-03-07 14:45 - 00000000 ____D C:\ProgramData\ProductData
Task: {405BFE0F-5F00-4F33-BCB2-F1A34ED4028F} - System32\Tasks\MailRuUpdater => C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe
FirewallRules: [TCP Query User{F246865E-4CA2-406B-B8CE-78738AB0EE00}C:\windows\temp\files\bin\kmss.exe] => (Allow) C:\windows\temp\files\bin\kmss.exe
FirewallRules: [UDP Query User{5D472BE9-AE71-40E4-988F-B694D9D9F27A}C:\windows\temp\files\bin\kmss.exe] => (Allow) C:\windows\temp\files\bin\kmss.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Запустите frst64.exe, в поле Search введите

Kinoroom Browser

нажмите Registry Search. Итоговый файл Search.txt приложите к следующему сообщению.

@in sane · 20.06.2016, 15:31 **[ТС]**

готово.
в файле search директория где должен быть kinoroom browser. этой директории не существует

@Sandor · 20.06.2016, 15:45

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Kinoroom Browser]
[-HKEY_USERS\S-1-5-21-2445809124-2658947995-1678092403-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store]
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@in sane · 20.06.2016, 15:50 **[ТС]**

готово

@Sandor · 20.06.2016, 15:51

Что с проблемой?

@in sane · 20.06.2016, 15:58 **[ТС]**

Kinoroom browser удален
Домашняя страница в порядке
Левые сайты не открывает
Пока проблем нет, спасибо !

@Sandor · 20.06.2016, 16:09

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@in sane · 20.06.2016, 16:24 **[ТС]**

Спасибо

@Sandor · 20.06.2016, 16:58

--------------------------------- [ IM ] ----------------------------------
Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Desktop (MinGW): Рисуем цветные прямоугольники с помощью рисовальщика SDL3 на Си и C++ 8Observer8 17.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-rectangles-sdl3-c. zip finish-rectangles-sdl3-cpp. zip	Символические и жёсткие ссылки в Linux. algri14 15.03.2026 Существует два типа ссылок — символические и жёсткие. Ссылка в Linux — это запись в каталоге, которая может указывать либо на inode «файла-ИСТОЧНИКА», тогда это будет «жёсткая ссылка» (hard link),. . .	[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .	делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью
SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .	Модульная разработка через nuget packages DevAlt 07.03.2026 Сложившийся в . Net-среде способ разработки чаще всего предполагает монорепозиторий в котором находятся все исходники. При создании нового решения, мы просто добавляем нужные проекты и имеем. . .

@in sane 0 / 0 / 0 Регистрация: 18.06.2016 Сообщений: 17
	19.06.2016, 13:11 [ТС]
	похоже не только браузер заражен. устанавливаются всякие преложения. пока антивирус их лечит 0

@Sandor 22470 / 15922 / 3082 Регистрация: 08.10.2012 Сообщений: 64,863
	20.06.2016, 13:15
	1. Запустите повторно AdwCleaner (by TollsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки и отметьте дополнительно: Сброс настроек Proxy Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22470 / 15922 / 3082 Регистрация: 08.10.2012 Сообщений: 64,863
	20.06.2016, 13:37
	Три отчета п.2 тоже сделайте. 0

@in sane 0 / 0 / 0 Регистрация: 18.06.2016 Сообщений: 17
	20.06.2016, 14:54 [ТС]
	кстати получилось только два отчета, а не три Добавлено через 1 минуту я заново установил мейл агент, никаких допов не устанавливал, может это он.. а как же без него совсем что ли 0

@Sandor 22470 / 15922 / 3082 Регистрация: 08.10.2012 Сообщений: 64,863
	20.06.2016, 15:45
	Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните. Windows Batch file start CreateRestorePoint: [-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Kinoroom Browser] [-HKEY_USERS\S-1-5-21-2445809124-2658947995-1678092403-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store] Reboot: end Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 0

@Sandor 22470 / 15922 / 3082 Регистрация: 08.10.2012 Сообщений: 64,863
	20.06.2016, 15:51
	Что с проблемой? 0

@in sane 0 / 0 / 0 Регистрация: 18.06.2016 Сообщений: 17
	20.06.2016, 15:58 [ТС]
	Kinoroom browser удален Домашняя страница в порядке Левые сайты не открывает Пока проблем нет, спасибо ! 0

@Sandor 22470 / 15922 / 3082 Регистрация: 08.10.2012 Сообщений: 64,863
	20.06.2016, 16:09
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22470 / 15922 / 3082 Регистрация: 08.10.2012 Сообщений: 64,863
	20.06.2016, 16:58
	--------------------------------- [ IM ] ---------------------------------- Skype™ 7.0 v.7.0.102 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.7.42330 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1