Открывающиеся вкладки

[jennes90]

Переодически открываются вкладки которые порой не отображают содержимого сайта который пытаются открыть, либо открывают сайт казито Вулкан, букмейкерские конторы или игры для 18+…. после многкратного сканирования и удаления зловредов с помощью Avast, CureIt, AdwCleaner, Chrome cleanup tool, Malwarebytes Anti-Malware… окна стали открываться гораздо реже, но все же не прекратили открываться полностью.

Вложения:

You must be logged in to view attached files.

[jennes90]

в Chrome нет ни одного установленного расширения, а файл хост не отличается содержимым от стандартного по умолчанию (никаких лишних строчек)

[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-21-1950885224-146791761-2695926304-1003\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1950885224-146791761-2695926304-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKU\S-1-5-21-1950885224-146791761-2695926304-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.sweet-page.com/?type=hp&ts=1402667342&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1402747647&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1402801782&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1402808254&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403015284&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403142906&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403177484&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403261446&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403354400&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403590491&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403597992&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403661402&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403693430&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403841806&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403920867&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404180306&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404293430&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404439189&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404660309&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404673727&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1405857647&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.google.com/","hxxp://www.google.com/","","","","","","","","","","","","","","","","","","","","","","hxxp://google.com/","hxxp://mail.ru/cnt/10445?gp=821268","hxxp://mail.ru/cnt/10445?gp=818408"
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <not found>
CHR HKU\S-1-5-21-1950885224-146791761-2695926304-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
File: C:\Windows\SysWOW64\drivers\cqgf.sys
Task: {36629C20-24DA-443A-94B0-C724716B4FD9} - System32\Tasks\InternetA => Chrome.exe hxxp://bkrfdf.xyz/ball
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Скачайте Check Browsers’ LNK отсюда http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите Check Browsers LNK.exe от имени Администратора
После окончания работы программы в папке Log будет сохранен отчет Check_Browsers_LNK.log
Прикрепите этот отчет в вашей теме.

[jennes90]

После перезагрузки с третьей попытки смог запустить систему — был черный экран, с активным курсором. После чего ни разу не было замечено подозрительной активности с самостоятельным открытием вкладок. Прикладываю необходимые файлы

• Этот ответ был изменен 8 years назад от jennes90.

Вложения:

You must be logged in to view attached files.

[mike_1]

C:\Users\Друг\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk

Удалите вручную. Проблема решена?

[jennes90]

В папке C:\Users\Друг\AppData\Local\Microsoft\ нет папки Start Menu

[mike_1]

Оно может называться еще как Главное меню

[jennes90]

русскоязычных папок и файлов тут нет, так же поиск по всему диску С не находит данный файл

• Этот ответ был изменен 8 years назад от jennes90.

Вложения:

You must be logged in to view attached files.

[mike_1]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

C:\Users\Друг\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт 2inf.net.lnk

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[jennes90]

Пожалуйста

Вложения:

You must be logged in to view attached files.

[mike_1]

Теперь порядок.

[jennes90]

Спасибо большое за вашу помощь, проблема решена!

[jennes90]

Прощу прощения… но я опять напоролся на ту же самую фигню… опять вкладки открываются , в первый раз я не понял с чего это началось, а теперь заметил, что началось это с установки тор браузера с сайта http://www.tor-browser.su (он еще помечен как «реклама» в Google) — одновременно устанавливаются всякие ненужные «сервисы» mail.ru

Вложения:

You must be logged in to view attached files.

[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.sweet-page.com/?type=hp&ts=1402667342&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1402747647&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1402801782&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1402808254&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403015284&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403142906&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403177484&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403261446&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403354400&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403590491&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403597992&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403661402&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403693430&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403841806&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1403920867&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404180306&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404293430&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404439189&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404660309&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1404673727&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.sweet-page.com/?type=hppp&ts=1405857647&from=wpc&uid=WDCXWD5000AAKX-001CA0_WD-WCAYUX15405954059","hxxp://www.google.com/","hxxp://www.google.com/","","","","","","","","","","","","","","","","","","","","","","hxxp://google.com/","hxxp://mail.ru/cnt/10445?gp=821268","hxxp://mail.ru/cnt/10445?gp=818408","hxxp://mail.ru/cnt/10445?gp=818411"
2014-05-10 20:40 - 2014-05-10 20:40 - 0000006 _____ () C:\Users\Друг\AppData\Roaming\smw_inst
Task: {26C155B4-5D56-4E38-9F8F-FF6849DC119D} - System32\Tasks\InternetB => Chrome.exe hxxp://bhd4.xyz/search
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[jennes90]

Спасибо

Вложения:

You must be logged in to view attached files.

[Автор]

Сообщения