При серфинге через гугл хром открывается дополнительная вкладка с рекламой

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

При серфинге через гугл хром открывается дополнительная вкладка с рекламой

Добрый вечер,
Столкнулась с проблемой, при загрузке виндовс открывается стандартный браузер (гугл хром) и в нем открывается сайт 12kotov с рекламой, так же на всех страницах в браузере присутствует реклама. Также при переходе по любой ссылке открывается дополнительная вкладка с рекламой. Нашла в реестре ключ, который отвечал за старт рекламы при загрузки виндовс

Скрытый текст

После удаления этого ключа, реклама при загрузке пропала, но остальные симптомы остались.

Какие логи нужно предоставить и где скачать программы для создания логов?
Спасибо!

Привет.

Подготовьте логи по правилам http://forum.oszone.net/thread-98169.html

Вот логи. Спасибо, что пытаетесь помочь!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 QuarantineFile('E:\autorun.inf', '');

 QuarantineFile('C:\Users\3\Favorites\Links\Интернет.url', '');

 QuarantineFile('C:\Windows\microsoft\svchost.exe', '');

 DeleteFile('C:\Windows\microsoft\svchost.exe');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

ExecuteSysClean;

 ExecuteRepair(1);

 ExecuteWizard('SCU', 2, 3, true);

 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');

RebootWindows(true);

end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Вот логи, а файл карантин отправила как Вы и говорили

Отключите синхронизацию в Chrome - Как отключить синхронизацию в Chrome

1.

Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
- Политики IE
- Политики Chrome
  и нажмите Ok.
Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Вот логи. Реклама пока еще не пропала.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Chrome <==== ATTENTION BHO: YoutubeAdBlock -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> C:\Program Files (x86)\YubeAlckIE\tSaleQS.dll => No File BHO-x32: YoutubeAdBlock -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> C:\Program Files (x86)\YubeAlckIE\k_PPQz4.dll => No File 2017-07-11 11:14 - 2017-07-11 11:14 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigncf94eeef968476c1 2017-07-11 11:03 - 2017-07-11 11:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign53fc169dd81004b6 2017-07-11 09:52 - 2017-07-11 09:52 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign37d76504d0c6a232 2017-07-10 21:59 - 2017-07-10 21:59 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign23961bfa883119de 2017-07-10 11:28 - 2017-07-10 11:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign317ba385704acb09 2017-07-09 21:59 - 2017-07-09 21:59 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign81aaaf2ebdaedd56 2017-07-09 21:44 - 2017-07-09 21:44 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignfb4d3085d1dcbce3 2017-07-09 19:39 - 2017-07-09 19:39 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign246082beb1643e09 2017-07-09 19:01 - 2017-07-09 19:01 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3a907f74f37bc063 2017-07-09 15:00 - 2017-07-09 15:00 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign74b50d86ecd6672e 2017-07-09 12:38 - 2017-07-09 12:38 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignfe64ffa3abf88ddd 2017-07-09 12:03 - 2017-07-09 12:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign830dbe2d2f2f8f81 2017-07-09 09:33 - 2017-07-09 09:33 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign118a9f270fbc9265 2017-07-08 18:49 - 2017-07-08 18:49 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign91e20c8b09f4f716 2017-07-08 17:20 - 2017-07-08 17:20 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigna4b85c0804d43a8b 2017-07-08 15:07 - 2017-07-08 15:07 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign7a1f67580b2e692c 2017-07-08 13:57 - 2017-07-08 13:57 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign0ef454a5b1db5cdf 2017-07-08 13:09 - 2017-07-08 13:09 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign94ecddc250f7e9ee 2017-07-08 11:37 - 2017-07-08 11:37 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign54058e4307245a39 2017-07-07 16:54 - 2017-07-07 16:54 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign06c97df337b67a18 2017-07-07 16:52 - 2017-07-07 16:52 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign9d643633142759c5 2017-07-07 15:32 - 2017-07-07 15:32 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3a43ca732632897f 2017-07-07 14:57 - 2017-07-07 14:57 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignc80fe24bd41921ac 2017-07-07 13:44 - 2017-07-07 13:44 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign50cda08a50e52b8f 2017-07-07 12:28 - 2017-07-07 12:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign8c1501a378ae9046 2017-07-06 21:45 - 2017-07-06 21:45 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign736ec64466c28283 2017-07-06 09:02 - 2017-07-06 09:02 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignb97e1b9cb19621d2 2017-07-06 08:41 - 2017-07-06 08:41 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3c4e0078a215ca49 2017-07-06 06:09 - 2017-07-06 06:09 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign78bb48525b365c04 2017-07-06 05:32 - 2017-07-06 05:32 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign4af24a5e84096dc6 2017-07-05 15:46 - 2017-07-05 15:46 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign0dbaef770fe995bf 2017-07-05 14:41 - 2017-07-05 14:41 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign4f02975e4ed0426e 2017-07-05 14:30 - 2017-07-05 14:30 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignf4fe75cda86f31b9 2017-07-04 14:28 - 2017-07-04 14:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign35c25b0f32bce872 2017-07-04 11:02 - 2017-07-04 11:02 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignf2e2c3c6037761a8 2017-07-04 10:42 - 2017-07-04 10:42 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignab5fcf9af7346244 2017-07-04 10:03 - 2017-07-04 10:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignf0c417519e205c26 2017-07-03 13:03 - 2017-07-03 13:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign1338e49ee3ad5c5d 2017-07-03 12:04 - 2017-07-03 12:04 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigne8a5fc6f90a3f5a0 2017-07-03 11:20 - 2017-07-03 11:20 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignb53c4fd2c8b0b7be 2017-07-02 14:53 - 2017-07-02 14:53 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3052b9edab909735 2017-07-02 11:27 - 2017-07-02 11:27 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignfa18accfb7722679 2017-07-02 10:39 - 2017-07-02 10:39 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign8680d4efa2cd815f 2017-06-29 08:35 - 2017-06-29 08:35 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign742cffee61561cc7 2017-06-29 08:28 - 2017-06-29 08:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignd2c392c5ae38471f 2017-06-28 23:49 - 2017-06-28 23:49 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignd8d014351cc48635 2017-06-28 14:26 - 2017-06-28 14:26 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign6854ede06feed016 2017-06-28 12:30 - 2017-06-28 12:30 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignac0e40171ba83783 2017-06-27 22:03 - 2017-06-27 22:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign693b2e287ff232af 2017-06-27 21:53 - 2017-06-27 21:53 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign08f083c1c22c8141 2017-06-27 08:52 - 2017-06-27 08:52 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigncc42b2f238107080 2017-06-26 21:16 - 2017-06-26 21:16 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign26c2da085b778a30 2017-06-26 20:19 - 2017-06-26 20:19 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign8c127cdf3ac56878 ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File Task: {09DF2459-35F7-424B-AEEC-D75CD79C4665} - System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\QRycv7T.dll",#1 <==== ATTENTION HKU\S-1-5-21-1295226181-2911231635-9613387-1001\Software\Classes\.scr: scrfile => <==== ATTENTION FirewallRules: [{5AF8C9FA-80F5-41B6-907F-8FC154D4936C}] => (Allow) C:\Users\3\AppData\Local\yc\Application\yc.exe EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Я скопировала код в буфер и нажала фикс один раз, вот логи

Цитата:

Цитата Marina555

Реклама пока еще не пропала »

Если по-прежнему не пропала, уточните, только в Хроме?

Скрытый текст

В Ie проблемы нет, а в хроме есть, смотрите спойлер и так же открываются дополнительные окна с рекламой.

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Реклама появляется при включении расширения документы гугл. Удалить его ?

Да, удалите. Было изменено вредоносом.

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

------------------------------- [ HotFix ] --------------------------------
HotFix KB4016871 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

Прочтите и выполните Рекомендации после лечения.

хот фикс я установлю, винрар обновила. торент использую только в случае необходимости, качаю с более менее проверенных источников, типа рутрекер, Спасибо за рекомендации, и Спасибо огромное за помощь!