При клике мышкой открываются сайты с рекламой.

При клике мышкой открываются сайты с рекламой.

Уважаемый(ая) [B]azazel7171[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Сами устанавливали [B]Zona[/B]?
[CODE]D:\программы\zona\Zona\Zona.exe
[/CODE]
Вы используете антивирус mcafee? У вас два антивируса - eset и mcafee, по логам - mcafee лишний, удалите его.

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл [b]Check_Browsers_LNK.log[/b] из логов на ClearLNK как показано на рисунке
[url=http://dragokas.com/tools/move.gif][img]http://dragokas.com/tools/move.gif[/img][/url]
* Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

Пофиксите в [url=https://virusinfo.info/showthread.php?t=4491]HiJackThis[/url].
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis
[code]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/cnt/10445?gp=811040
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BBF0AE113-5FFD-4208-BE25-4EB6EFD913A0%7D&gp=811041
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BBF0AE113-5FFD-4208-BE25-4EB6EFD913A0%7D&gp=811041
O2 - BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - C:\Users\Администратор\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll
O4 - HKCU\..\Run: [amigo] C:\Users\Администратор\AppData\Local\Amigo\Application\amigo.exe --no-startup-window
O4 - HKCU\..\Run: [kqkxdngwnd] C:\Windows\explorer.exe "http://pexmeby.ru/?utm_source=uoua03&utm_content=358ec8da5dba511232a7a6352b5b128c"
O22 - Task (Ready): nethost task - C:\Users\Администратор\AppData\Local\SystemDir\nethost.exe (file missing)
O22 - Task (Ready): top5newsorgenorsm - C:\Program Files\Google\Chrome\Application\chrome.exe top5news.org/enorsm
O23 - Service R2: Coupons Browser Update Service - C:\Program Files\Ultimate-Discounter Browser\udservice.exe
[/code]

[b]Временно отключите [url=https://virusinfo.info/showthread.php?t=130828]защитное ПО[/url][/b].

Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('CSWIN');
QuarantineFile('C:\Windows\system32\wincswatch.exe','');
TerminateProcessByName('c:\program files\ultimate-discounter browser\udservice.exe');
QuarantineFile('C:\Program Files\ultimate-discounter browser\udservice.exe','');
StopService('Coupons Browser Update Service');
DeleteService('Coupons Browser Update Service');
QuarantineFile('C:\Users\Администратор\appdata\local\temp\5a52.tmp','');
StopService('WinRing0_1_2_0');
QuarantineFile('C:\Users\Администратор\AppData\Local\Temp\tmp3C15.tmp','');
QuarantineFile('C:\Users\Администратор\AppData\Local\SystemDir\nethost.exe','');
TerminateProcessByName('C:\Users\Администратор\AppData\Local\Mail.Ru\mrkeeper.exe');
DeleteFile('c:\program files\ultimate-discounter browser\udservice.exe','32');
DeleteFileMask('c:\program files\ultimate-discounter browser','*',true);
DeleteDirectory('c:\program files\ultimate-discounter browser');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kqkxdngwnd');
DeleteFile('C:\Windows\system32\Tasks\nethost task','32');
DeleteFile('C:\Users\Администратор\AppData\Local\SystemDir\nethost.exe','32');
DeleteFileMask('C:\Users\Администратор\AppData\Local\SystemDir','*',true);
DeleteDirectory('C:\Users\Администратор\AppData\Local\SystemDir');
DeleteFile('C:\Users\Администратор\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFileMask('C:\Users\Администратор\AppData\Local\Amigo','*',true);
DeleteDirectory('C:\Users\Администратор\AppData\Local\Amigo');
DeleteFile('C:\Users\Администратор\appdata\local\temp\5a52.tmp','32');
DeleteFile('C:\Users\Администратор\AppData\Local\Mail.Ru\mrkeeper.exe','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.
[/code]
Пришлите архив карантина из папки AVZ.

Сделайте новые логи программой [url=https://virusinfo.info/content.php?r=136-pravila]Autologger[/url] и пришлите их.

Сделайте лог утилитой [url=https://virusinfo.info/showthread.php?t=146192]AdwCleaner[/url] и пришлите его.

Тысячу раз извиняюсь,все сделала,но не могу вложить файлы в сообщение,не вижу такой кнопки.Еще раз прошу прощения,что отвлекаю вас.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Zona устанавливали сами,но давно удалили,никаких следов ее не нахожу.
Антивирус удалила.

Удалите в [url=https://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]AdwCleaner[/url] всё найденное. Отчет после удаления прикрепите.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. У вас 32-битная ОС.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i739.photobucket.com/albums/xx33/emeraldnzl/FRST%20Console%20with%2090days.jpg[/img]

Готово...

[list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1024456904-33520548-298734789-500\...\Run: [Zona] => D:\программы\zona\Zona\Zona.exe /MINIMIZED
D:\программы\zona
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1024456904-33520548-298734789-500\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\fb6hllc3.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\fb6hllc3.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\fb6hllc3.default -> hxxp://mail.ru/cnt/10445?gp=811040
FF Keyword.URL: Mozilla\Firefox\Profiles\fb6hllc3.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7BAACD4586-DFE0-4D1C-8379-BD03AE536550%7D&gp=811041
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\fb6hllc3.default\Extensions\[email protected] [2017-04-23]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\fb6hllc3.default\Extensions\[email protected] [2017-04-23]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\fb6hllc3.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-04-23]
FF SearchPlugin: C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\fb6hllc3.default\searchplugins\mailru.xml [2017-04-23]
CHR HomePage: Default -> hxxp://start.facemoods.com/?a=make
CHR StartupUrls: Default -> "hxxp://start.facemoods.com/?a=make","hxxp://mail.ru/cnt/7993/","hxxp://mail.ru/cnt/10445?gp=blackbear4","hxxp://yandex.ru/","hxxp://mail.ru/cnt/10445?gp=blackbear3","hxxp://mail.ru/cnt/10445?gp=811036"
CHR Extension: (Ebates Cash Back) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\chhjbpecpncaggjpdakmflnfcopglcmi [2017-04-08]
CHR Extension: (Ultimate Discounter) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2017-05-03]
CHR Extension: (Tampermonkey) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-04-25]
CHR Extension: (Kopikot) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\iehhgmkphdjocnjjobeoccffiiclcmli [2017-02-05]
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
R2 BitStreamSvc; C:\Windows\System32\bstreamsvc.dll [275968 2009-12-08] () [File not signed]
R2 optsatadc; C:\Windows\System32\optsatadc.dll [405504 2009-12-08] () [File not signed]
S2 CSWIN; C:\Windows\system32\wincswatch.exe [X]
S3 WinRing0_1_2_0; \??\C:\Users\Администратор\AppData\Local\Temp\tmp3C15.tmp [X] <==== ATTENTION
2017-03-30 17:03 - 2017-03-30 17:03 - 0004145 _____ () C:\ProgramData\cgbpfizu.hkv
2017-03-06 00:54 - 2017-03-06 00:54 - 0004930 _____ () C:\ProgramData\czchsjpj.srw
2015-10-03 12:04 - 2015-10-03 12:04 - 0000016 _____ () C:\ProgramData\mntemp
2015-10-03 12:04 - 2015-10-03 12:04 - 0005050 _____ () C:\ProgramData\wmzddnmb.cix
FirewallRules: [{58FEAB68-FA63-4B71-9C53-508E1707EF3E}] => (Allow) D:\программы\zona\Zona\Zona.exe
FirewallRules: [{964FC7D6-50E9-40D2-AF83-14B6FAE8BB0B}] => (Allow) D:\программы\zona\Zona\Zona.exe
FirewallRules: [TCP Query User{A0581845-2863-4314-A920-9BA83A1792A1}D:\программы\zona\zona\zona.exe] => (Allow) D:\программы\zona\zona\zona.exe
FirewallRules: [UDP Query User{14F8FA0E-67AE-4ED0-BF75-28EBB4E2B664}D:\программы\zona\zona\zona.exe] => (Allow) D:\программы\zona\zona\zona.exe
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Готово

Уточните, вкладки с рекламой все еще открываются?
Вы используете браузер [B]Chrome[/B]?
Для очистки браузера Chrome используйте фирменный инструмент Google [url=https://www.google.com/chrome/cleanup-tool/]cleanup-tool[/url]
Рекомендации техподдержки Google - [url=https://support.google.com/chrome/answer/2765944?hl=ru&ref_topic=3227046]Как удалить вредоносное ПО и заблокировать всплывающие окна в Chrome[/url]

Реже,но открываются.
Сейчас с Chrome перешли на Mozilla

Уточните, что с хромом, - Вы сделали рекомендации из сообщения #9 и они не помогли?

Инструментом Google просканировали,ничего не найдено.
Всплывает реклама и из поисковика google невозможно перейти по ссылкам,просто не открываются никакие сайты.

Пришлите новые логи программой Autologer и программой Farbar, предварительно скачав свежие версии программ.