Добрый день! Стали появляется всплывающие рекламные окна на разные сайты. Нигде ничего не нашел. Только есть подозрительное расширение antiblocker в диспетчере задач хрома http://joxi.ru/ZrJqqpkSvvMVAj Нигде не смог его найти и тем более удалить. Можно убить его в диспетчере задач, но после новой загрузки хрома оно снова появляется. Вот то что есть в свойствах рекламного окна http://joxi.ru/v29JJNGhXX4wAG

Здравствуйте!

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rghost.ru/), Zalil (http://zalil.ru/), UkrShara (http://us.ua/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577/).

Выполните скрипт в АВЗ (http://safezone.cc/threads/10/) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Sergey\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk', '');
QuarantineFile('C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Chrome Apps & Extensions Developer Tool.lnk', '');
QuarantineFile('C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\SendTo\Dropbox.lnk', '');
QuarantineFile('C:\Users\Sergey\Links\Dropbox.lnk', '');
QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Яндекс\Punto Switcher\Puntо Switсhеr.lnk', '');
QuarantineFile('C:\Users\Sergey\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Puntо Switсhеr.lnk', '');
QuarantineFile('C:\Program Files (x86)\punto.bat', '');
DeleteFile('C:\Program Files (x86)\punto.bat', '32');
DeleteFile('C:\Program Files (x86)\punto.bat', '');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK (http://safezone.cc/resources/102/). Отчёт о работе прикрепите.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.


Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

все сделал. проблема осталась.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

сделал. но ничего не поменялось. adwcleaner ничего не нашел и соотвественно ничего не удалил.

Видно вы в прошлый раз всё удалили.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).


В Хроме удалите это расширение вручную и проверьте проблему.

В хроме нет этого расширения. Вот в чем проблема и я не могу найти откуда у него ноги растут. Его видно только в диспетчере задач в хроме.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

готово.

1. Через Панель управления - Удаление программ - удалите нежелательное ПО:
Joxi v 3.0.0

2. Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
OPR Extension: (Переводчик для Chrome 2) - C:\Users\Sergey\AppData\Roaming\Opera Software\Opera Stable\Extensions\oadboiipflhobonjjffjbfekfjcgkhco [2015-01-10]
AlternateDataStreams: C:\Users\Sergey\SkyDrive:ms-properties
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

не помогло.

Скачайте Universal Virus Sniffer (http://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS. (http://safezone.cc/threads/14508/#post-79351)

вот.

Отключайте по очереди расширения Хрома и понаблюдайте за процессами. Результат сообщите.

отключил все. а в диспетчере оно все равно висит. http://joxi.ru/V2VeeY3CN5JMmv

Повторите еще раз логи FRST.

вот. в архиве. http://rghost.ru/7xvjT6Bqr

Вероятно по ошибке Вы выложили сам Автологер. А я просил повторить логи из этого сообщения (http://forum.oszone.net/post-2487619-7.html).

txt файлы уже не выкладываются. поэтому положил их в архив. http://rghost.ru/7sJRGXpHn

D:\Liga70\Key\hide_autorestart.js
откройте блокнотом и напишите здесь его содержимое.

В Лисе прокси сами прописали?
FF NetworkProxy: "http", "185.31.194.83"
FF NetworkProxy: "http_port", 8080
FF NetworkProxy: "type", 1

+ стартовые страницы у вас в Хроме
CHR StartupUrls: Profile 3 -> "hxxp://caritas-uzhgorod.org/administrator/index.php", "hxxp://caritas-uzhgorod.org/", "hxxp://torrents.ru/", "hxxp://forum.ru-board.com/", "hxxp://thepiratebay.org/", "hxxp://dimonvideo.ru/", "hxxp://www.dpk.com.ua/", "hxxp://www.mail.ru/cnt/10387", "hxxp://www.google.com/", "hxxp://www.mystartsearch.com/?type=hp&ts=1416658007&from=smt&uid=ST9500325AS_6VEWN0L9", "hxxp://mail.ru/cnt/10445?gp=blackbear2"
mystartsearch - это вирусная, удалите её по этой инструкции (http://safezone.cc/threads/kak-udalit-nezhelatelnye-rasshirenija-vkladki.24812/), читать раздел "Удаление вкладок быстрого доступа".

+
CHR Extension: (Google Slides) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2015-01-15]
CHR Extension: (Better CDCS) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\adaiboomihahdddciolkcfhalmdnlneh [2015-01-25]
CHR Extension: (Google Docs) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aohghmighlieiainnegkcijnfilokake [2015-01-15]
CHR Extension: (RootsSearch) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aolcffalbhpnojekmimmelebjchjmmgn [2015-01-29]
CHR Extension: (Google Drive) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-01-15]
CHR Extension: (YouTube) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-01-15]
CHR Extension: (Google Search) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-01-15]
CHR Extension: (Google Sheets) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2015-01-15]
CHR Extension: (Talking Tom Cat 4) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pdamdlhihbipjbjleimapgnnbdkaeeld [2015-01-25]
CHR Extension: (Gmail) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-01-15]
CHR Profile: C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3
CHR Extension: (Duolingo on the Web) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aiahmijlpehemcpleichkcokhegllfjl [2015-01-15]
CHR Extension: (SEOquake) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\akdgnmcogleenhbclghghlkkdndkjdjc [2015-03-23]
CHR Extension: (Google Drive) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-01-15]
CHR Extension: (YouTube) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-01-15]
CHR Extension: (Google Search) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-01-15]
CHR Extension: (TickTick - Todo & Task List) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\diankknpkndanachmlckaikddgcehkod [2015-03-23]
CHR Extension: (SPOTS - A better way to start) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ejocekekgcaldnmjngfdbmbeebcekelc [2015-03-23]
CHR Extension: (AdBlock) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-03-21]
CHR Extension: (Bookmark Manager) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-03-15]
CHR Extension: (VkOpt) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\hoboppgpbgclpfnjfdidokiilachfcbb [2015-03-22]
CHR Extension: (iNeXT Cast) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\jgnidebanjjfddhdccmnkcgegahgjpbh [2015-01-15]
CHR Extension: (No Name) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\jhcdlkgjiehgpnpolkbnmpffjodigbkb [2015-03-27]
CHR Extension: (RDS bar (seo: pagerank, dmoz, alexa, pr)) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\jlipcaflaocihnmlhnhcfombgmmfglho [2015-03-23]
CHR Extension: (Speed Dial 2) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\jpfpebmajhhopeonhlcgidhclcccjcik [2015-01-15]
CHR Extension: (LinguaLeo.com) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\kdaikbocjgopmfhoonmckfpidonnkojk [2015-01-15]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-27]
CHR Extension: (DF YouTube (Distraction Free)) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\mjdepdfccjgcndkmemponafgioodelna [2015-03-20]
CHR Extension: (Yandex Wordstat Assistant) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\nbihjogngdgindfodcjbelhgjdpmkolc [2015-01-15]
CHR Extension: (LinguaLeo English Translator) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\nglbhlefjhcjockellmeclkcijildjhi [2015-03-23]
CHR Extension: (Google Wallet) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-01-15]
CHR Extension: (Gmail) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-01-15]
CHR Extension: (RightToCopy) - C:\Users\Sergey\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\plmcimdddlobkphnofejmeidjblideca [2015-03-23]
Из этого списка название каких расширений вам знакомо (вы пользуетесь, сами ставили) ?