Gocloudly.com/goac

[risulight]

Здравствуйте!
В некоторых ситуациях при работе в браузере (vivaldi, chrome, firefox, opera) при клике по ссылке, либо по свободной области страницы, открывается дополнительная вкладка, в названия которой изначально отображаются буквы «goac», а затем идёт переадресация на различные сайты. Обязательно открывается, при клике на рекламное предложение на странице гугла, например.
Антивирусы Касперский, AVZ, Anti-Malware проблем не видят. В браузерах лишних расширений нет, файл hosts чист.
Посоветуйте, пожалуйста, что-нибудь.

Подобная история и на моём смартфоне, браузером пользоваться невозможно, антивирусы не видят ничего плохого.

• Эта тема была изменена 8 years, 1 month назад пользователем risulight.

[risulight]

Результаты теста программы.

Вложения:

You must be logged in to view attached files.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
FF Extension: (No Name) - C:\Users\nik\AppData\Roaming\Mozilla\Firefox\Profiles\476gh0yu.default\extensions\sovetnik@metabar.ru.xpi [not found]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lgdnilodcpljomelbbnpgdogdbmclbni] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S3 Ghostery Storage Server; C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe [228352 2016-10-09] () [File not signed]
R2 ihctrl32; C:\Windows\SysWOW64\ihctrl32.dll [214016 2015-07-22] () [File not signed]
R2 SystemUsageReportSvc_WILLAMETTE; C:\Program Files (x86)\Intel Driver Update Utility\SUR\SurSvc.exe [118424 2016-03-09] ()
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R3 WinRing0_1_2_0; \??\C:\Program Files (x86)\AnVir Task Manager\OpenHardwareMonitor\OpenHardwareMonitor.sys [X]
Task: {2D89DD2B-CFC0-4756-BD7F-C390ADC96B14} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe
Task: {6FAA0E69-3311-479D-9D3D-18D25C8AC5AD} - System32\Tasks\{FC99ED7E-B50F-449C-8689-EF2C67D0D7B7} => C:\Users\nik\Desktop\gfwlivesetup(1).exe
Task: {ABADF0F8-0B28-4AF1-8F67-699E30CC67FF} - System32\Tasks\USER_ESRV_SVC_WILLAMETTE => Wscript.exe //B //NoLogo "C:\Program Files\Intel\SUR\WILLAMETTE\ESRV\task.vbs"
Task: {B0EB609D-5FF5-40D5-A8F2-56FB3D238FA9} - System32\Tasks\{4C8F7089-9CEC-4BA0-B0E2-59702BFBB655} => pcalua.exe -a C:\Users\nik\Downloads\vcredist_x64(1).exe -d C:\Users\nik\Downloads
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

Кроме сказанного выше, пожалуйста проверьте следующие файлы на сервисе VirusTotal.com, результаты сканирования вставьте в свой ответ.

C:\Windows\SysWOW64\wsaudio.dll
C:\Windows\SysWOW64\Drivers\vde3otkw.sys

[risulight]

Простите, сегодня я с форматированием жесткого диска установил вин10, проблема осталась.
Прилагаю новые файлы результатов сканирования.
Но как может этот вирус сохраниться после переустановки ОС? Может быть, ему удалось как-то заразить модем?

Вложения:

You must be logged in to view attached files.

[risulight]

Сделал вышенаписанное, файлы прилагаю

Вложения:

You must be logged in to view attached files.

[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
Tcpip\Parameters: [DhcpNameServer] 31.3.244.137 31.3.244.133
Tcpip\..\Interfaces\{74c88e16-6c72-4e49-ab93-72db02499199}: [DhcpNameServer] 31.3.244.137 31.3.244.133
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Если после фикса пропадет Интернет, впишите в настройки DNS адреса, выданные Вам провайдером (см. договор или звоните в их техподдержку).
Обратите внимание, что компьютер будет перезагружен.

• Этот ответ был изменен 8 years, 1 month назад от mike_1.
• Этот ответ был изменен 8 years, 1 month назад от mike_1.

[Автор]

Сообщения