Решена Как решить проблему с самопроизвольным открытием рекламных вкладок в Chrome?

[Misha]

В Chrome периодически самопроизвольно открываются новые вкладки с рекламным контентом.
Просьба помочь в решении проблемы.
Логи приложил.

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\StartupApproved\Run: [Orbitum Update] = C:\Users\User\AppData\Local\Orbitum\Update\GoogleUpdate.exe /c (file missing) (2020/09/11)
O4 - HKCU\..\StartupApproved\Run: [OrbitumAutoLaunch_8FAE49AB912BEC6FCFD496B1ECFA32A6] = C:\Users\User\AppData\Local\Orbitum\Application\orbitum.exe  (file missing) 
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O22 - Task: (telemetry) \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser - C:\Windows\system32\compattelrunner.exe (file missing)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Misha]

Сделано.
Лог приложил.

 

[Sandor]

Отчёт AdwCleaner[C00].txt тоже покажите.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[akok]

Майнер сами ставили?

 

[Misha]

Майнер сами ставили?

Нет. Думаю надо удалить, подскажите как правильно это сделать.

 

[Misha]

Отчёт AdwCleaner[C00].txt тоже покажите.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Сделано

Сделано

 

[Misha]

Файл Addition.txt не могу прикрепить, заархивировал и прикрепил

 

[akok]

Исправил, теперь должно грузить логи нормально. Спасибо.

 

[Misha]

Да, теперь нормально.
Логи приложил.

 

[akok]

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройки отметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  VirusTotal: C:\ProgramData\DirectX11b\System.exe;C:\ProgramData\WindowsSQL\System.exe
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  CHR HKLM-x32\...\Chrome\Extension: [dgjepfldodmdfmdidhhgamnklbdibndi]
  
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{733EB758-7CF0-4927-A3B9-75EB28490615}\InprocServer32 -> C:\Users\User\AppData\Local\Orbitum\Update\1.3.99.0\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{E2380A43-3EB6-4428-9D4E-8E22B8CCB5D4}\InprocServer32 -> C:\Users\User\AppData\Local\Orbitum\Update\1.3.99.0\psuser_64.dll => No File
  ShellServiceObjects: No Name -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
  ShellServiceObjects-x32: No Name -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
  ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
  ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
  ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
  ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
  ContextMenuHandlers4: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> No File
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  ContextMenuHandlers1: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> No File
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "3TFM2CO5448CDEY"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "6SBLRMN1QTYKKAH"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "N0U4DDLPCZICTT5"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "XJQT4RH802XVSI4"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "DZHQ4GMUY8S7BWN"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "OA4897LH995NKXL"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "7PCVCRWB6T1KNUJ"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "6EJG4Q1OXU93U77"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "598540"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "157433"
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Misha]

Готово!
Л

• Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
• В меню Настройкиотметьте:
  • Сброс политик IE
  • Сброс политик Chrome
• Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Quarantine" ("Карантин") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  VirusTotal: C:\ProgramData\DirectX11b\System.exe;C:\ProgramData\WindowsSQL\System.exe
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  CHR HKLM-x32\...\Chrome\Extension: [dgjepfldodmdfmdidhhgamnklbdibndi]
  
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{733EB758-7CF0-4927-A3B9-75EB28490615}\InprocServer32 -> C:\Users\User\AppData\Local\Orbitum\Update\1.3.99.0\psuser_64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-806812856-1908858366-2756246003-1000_Classes\CLSID\{E2380A43-3EB6-4428-9D4E-8E22B8CCB5D4}\InprocServer32 -> C:\Users\User\AppData\Local\Orbitum\Update\1.3.99.0\psuser_64.dll => No File
  ShellServiceObjects: No Name -> {900c0763-5cad-4a34-bc1f-40cd513679d5} =>
  ShellServiceObjects-x32: No Name -> {900c0763-5cad-4a34-bc1f-40cd513679d5} =>
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
  ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
  ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
  ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
  ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
  ContextMenuHandlers4: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> No File
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
  ContextMenuHandlers1: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> No File
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "3TFM2CO5448CDEY"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "6SBLRMN1QTYKKAH"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "N0U4DDLPCZICTT5"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "XJQT4RH802XVSI4"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "DZHQ4GMUY8S7BWN"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "OA4897LH995NKXL"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "7PCVCRWB6T1KNUJ"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "6EJG4Q1OXU93U77"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "598540"
  HKU\S-1-5-21-806812856-1908858366-2756246003-1000\...\StartupApproved\Run: => "157433"
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Готово.
Логи приложил.

 

[akok]

Что с проблемой?

 

[Misha]

Вроди нету

 

[akok]

Понаблюдайте до завтра, а если все хорошо выдам финальные рекомендации.

 

[Misha]

Принято!
Спасибо огромное!!!

 

[Misha]

Понаблюдайте до завтра, а если все хорошо выдам финальные рекомендации.

Активно пользовался компъютером, проблемы нет.

 

[akok]

Тогда завершаем
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Для правильного удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe. Запустите файл Uninstall.exe. Появится уведомление о необходимости перезагрузить систему для окончательного удаления Farbar Recovery Scan Tool.

​

 

[Misha]

Рекомендации выполнил.
Спасибо большое за помощь!!!

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.576.14393.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
K-Lite Codec Pack 13.3.3 Full v.13.3.3 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления


Примите к сведению и по возможности обновите указанное.
Удачи!