Доброго дня!
При открытии ссылок http://www.ebay.co.uk/itm/<любыепараметры> - перенаправляет на http://www.findingresult.com/?dn=pic...rpid=9POQL9235. Воспроизводится в любом браузере. Даже в портабл версии, которую не устанавливал.
Пробовал: сканирование разными антиmalware программами, удалял все подозрительное в автозагрузке и процессах, проверял сетевые настройки, hosts, etc. (в других сетях аналогично, т. е. проблема только в этой машине на других компьютерах в этой сети не воспроизводится)
Кроме того переустанавливал хром, сбрасывал настройки IE к дефолтным.
При загрузке в safe mode with networking проблема все равно воспроизводится.
При загрузке с drweb live CD c ubuntu - все хорошо, но сканирование ничего не показывает.
На приаттаченной картинке - то что показывает malwarebytes, но удаление этих ключей ничем не помогает. Хотя в первый раз после этого DrWeb начал предотвращать выполнение "вредоносного кода" в chrome.exe. Эти логи приаттачены отдельно - events.zip.
Редирект происходит следующим образом:
Navigated to http://www.ebay.co.uk/itm/290818472694?_trksid=p2060353.m1438.l2649&var=590286177821&ssPageName=STRK%3AMEBIDX%3AIT
tx1tpj3cwuys1a0xmzaqnxnmm2u.js:7 771 1042 favicon:1 GET https://encrypted-tbn0.gstatic.com/favicon?q=tbn:ANd9GcRorhBfiJuVWax7D-Ckd7U8o5tZiSe9HBDO7t_EPgRo-yDHMwqDjTu_NAunwEJANFK8_WXQVdHKcQ 404 () ?pid=9PO312GO9&dn=pics.com&rpid=9POQL9235:30 Frame with URL 'http://www.findingresult.com/?pid=9PO312GO9&dn=pics.com&rpid=9POQL9235' attempted to navigate its top-level window with URL 'http://www.ebay.co.uk/itm/290818472694?_trksid=p2060353.m1438.l2649&var=590286177821&ssPageName=STRK%3AMEBIDX%3AIT'. Navigating the top-level window from a cross-origin iframe will soon require that the iframe has received a user gesture. See [url]https://www.chromestatus.com/features/5851021045661696. applyFrameKiller @ ?pid=9PO312GO9&dn=pics.com&rpid=9POQL9235:30 <-- это уже выполняется внедренный скрипт (anonymous) @ ?pid=9PO312GO9&dn=pics.com&rpid=9POQL9235:35 Navigated to http://www.findingresult.com/?dn=pics.com&fp=djeXR979YUlXN6uVWGMLkTWeC8mJGt…GHrZABsSTInDvgO25TmzokxifBs%2Bln1PjmDqmPkJ5%2FJ5Y%3D&cifr=1&rpid=9POQL9235
Видно, что вирусный javascript внедряется на 2 шаге. (сам редирект через вызов "window.top.location ")
Логи приаттачены. Пришлось перепаковать на 7z, чтобы было меньше 10Мб.