Всплывает реклама [not-a-virus:AdWare.Win32.Agent.xxdhrx, not-a-virus:HEUR:AdWare.Win32.Mewishid.gen ]

Всплывает реклама, открываются произвольно окна с рекламой в браузере. Процессор постоянно загружен до 50%.

Уважаемый(ая) [B]makonto[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Client42\AppData\Roaming\SearchAY\app.py','');
QuarantineFile('C:\Users\Client42\AppData\Local\SearchGo\searchgo.exe','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\ForceUpdateVOF\updater.py','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\ForceUpdateVOF\ml.py','');
QuarantineFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\CDManager\updater.py','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\aswast\app.py','');
DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
DelBHO('{598AEFC6-DD3C-4A63-9AC3-53FCF6155931}');
QuarantineFile('C:\Users\Client42\AppData\LocalLow\SearchGo\searchgo.dll','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\AdobeMNS\mstray.vbs','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\CPUNET~1\stmi.py','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\Vofer2\ml.py','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\Vofer2\IQmanager\ml.py','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\Adobe\gfxm\svst.vbs','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\Adobe\gfxm\msn.vbs','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\CDManager\ml.py','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\setupsk\ml.py','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\SearchAY\ml.py','');
SetServiceStart('mwescontroller', 4);
DeleteService('mwescontroller');
SetServiceStart('mweshield', 4);
SetServiceStart('mweshieldup', 4);
SetServiceStart('UbarPolicyProvider', 4);
DeleteService('UbarPolicyProvider');
DeleteService('mweshieldup');
DeleteService('mweshield');
QuarantineFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','');
QuarantineFile('C:\Program Files\UBar\UbarService.exe','');
QuarantineFile('C:\Program Files\UBar\ubar.exe','');
QuarantineFile('C:\Users\Client42\AppData\Roaming\AdobeMNS\block\nsoss.exe','');
TerminateProcessByName('C:\Program Files\My Web Shield\mweshieldup.exe');
QuarantineFile('C:\Program Files\My Web Shield\mweshieldup.exe','');
TerminateProcessByName('C:\Program Files\My Web Shield\mweshield.exe');
TerminateProcessByName('c:\users\client42\appdata\roaming\mediaplayerapplication2\mediaplayerapplication.exe');
QuarantineFile('c:\users\client42\appdata\roaming\mediaplayerapplication2\mediaplayerapplication.exe','');
QuarantineFile('C:\Program Files\My Web Shield\mweshield.exe','');
TerminateProcessByName('c:\users\client42\appdata\roaming\mp3tagapp\mp3tagapp.exe');
QuarantineFile('c:\users\client42\appdata\roaming\mp3tagapp\mp3tagapp.exe','');
DeleteFile('c:\users\client42\appdata\roaming\mp3tagapp\mp3tagapp.exe','32');
DeleteFile('c:\users\client42\appdata\roaming\mediaplayerapplication2\mediaplayerapplication.exe','32');
DeleteFile('C:\Program Files\My Web Shield\mweshield.exe','32');
DeleteFile('C:\Program Files\My Web Shield\mweshieldup.exe','32');
DeleteFile('C:\Program Files\UBar\ubar.exe','32');
DeleteFile('C:\Program Files\UBar\UbarService.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\mwescontroller.sys','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\SearchAY\ml.py','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gpyzgotlqu');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','SearchAY');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Mp3tagApp');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','setupsk');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaPlayerApplication');
DeleteFile('C:\Users\Client42\AppData\Roaming\setupsk\ml.py','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\CDManager\ml.py','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\Adobe\gfxm\msn.vbs','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\Adobe\gfxm\svst.vbs','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\Vofer2\IQmanager\ml.py','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\Vofer2\ml.py','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\CPUNET~1\stmi.py','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\AdobeMNS\mstray.vbs','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AdobeMNS');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','STMI');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Vofer2');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','IQmanager');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gfxm');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','gfxmF');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CDManager');
DeleteFile('C:\Users\Client42\AppData\LocalLow\SearchGo\searchgo.dll','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\aswast\app.py','32');
DeleteFile('C:\WINDOWS\system32\Tasks\CDManager','64');
DeleteFile('C:\WINDOWS\system32\Tasks\aswast2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\CDManager2','64');
DeleteFile('C:\Users\Client42\AppData\Roaming\CDManager\updater.py','32');
DeleteFile('C:\Users\Client42\AppData\Roaming\ForceUpdateVOF\ml.py','32');
DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF','64');
DeleteFile('C:\Users\Client42\AppData\Roaming\ForceUpdateVOF\python\pythonw.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\ForceUpdateVOF2','64');
DeleteFile('C:\Users\Client42\AppData\Roaming\ForceUpdateVOF\updater.py','32');
DeleteFile('C:\WINDOWS\system32\Tasks\httpsagepubgocomgravesm','64');
DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager','64');
DeleteFile('C:\WINDOWS\system32\Tasks\IQmanager2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\SearchAY','64');
DeleteFile('C:\Users\Client42\AppData\Local\SearchGo\searchgo.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\SearchGo Task','64');
DeleteFile('C:\Users\Client42\AppData\Roaming\SearchAY\app.py','32');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk','64');
DeleteFile('C:\WINDOWS\system32\Tasks\setupsk2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\VOF2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\vofer2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\Vofer22','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] из папки Autologger на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger[/COLOR][/B]

Все сделал.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Сделал.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
CHR HKU\S-1-5-21-3667730754-2957606200-3957401256-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3667730754-2957606200-3957401256-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3667730754-2957606200-3957401256-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
OPR Extension: (Блокировщик рекламы в социальных сетях) - C:\Users\Client42\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmbmoljonchdkbjgkioneippcfpnpmp [2017-04-11]
OPR Extension: (Поиск по торрентам) - C:\Users\Client42\AppData\Roaming\Opera Software\Opera Stable\Extensions\laoanoloafljgaakicikemicnamdieea [2017-04-08]
OPR Extension: (Блокировщик Рекламы Для Ютуба™) - C:\Users\Client42\AppData\Roaming\Opera Software\Opera Stable\Extensions\nbomckfkgpfkhgcponiencnhemallhhh
R2 UbarCalloutDriver; C:\Program Files\UBar\UbarDriver.sys [14920 2017-03-01] () <==== ATTENTION
2017-06-17 08:15 - 2017-06-17 08:15 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign2936c138d50e6d94
2017-06-17 08:13 - 2017-06-17 08:13 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign31ce2f4b5d478b97
2017-06-17 01:14 - 2017-06-17 01:14 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign560f9a5ef594a801
2017-06-17 01:11 - 2017-06-17 01:11 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignf8a04a6bb29664f0
2017-06-16 06:25 - 2017-06-16 06:25 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign010211fd1dae3d80
2017-06-16 06:22 - 2017-06-16 06:22 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign9b86f7f28c878146
2017-06-15 22:15 - 2017-06-15 22:15 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign434ee8a5c5da2704
2017-06-15 22:14 - 2017-06-15 22:14 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign64a0def65a2a30d2
2017-06-15 19:25 - 2017-06-15 19:25 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign701650843d43078a
2017-06-15 19:25 - 2017-06-15 19:25 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign2406e21f8e9a79fd
2017-06-15 07:53 - 2017-06-15 07:53 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign5dfe6a56f38e069f
2017-06-15 07:50 - 2017-06-15 07:50 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign358b5226707cb0a3
2017-06-13 08:14 - 2017-06-13 08:14 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsigne6bd48f2542a618a
2017-06-13 08:14 - 2017-06-13 08:14 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign518f9baacca12ff5
2017-06-08 17:40 - 2017-06-08 17:40 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign4f14e54ba827a14c
2017-06-08 17:34 - 2017-06-08 17:34 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign99f66caae99b590c
2017-06-08 09:09 - 2017-06-08 09:09 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign1428203f438ea9e8
2017-06-08 09:07 - 2017-06-08 09:07 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign0ea5fd585245c8f8
2017-06-07 10:54 - 2017-06-07 10:54 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign4883da54ecb0d474
2017-06-07 10:53 - 2017-06-07 10:53 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign5e4672553392f049
2017-06-07 10:51 - 2017-06-07 10:51 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign21de96c917c5c4fc
2017-06-07 10:49 - 2017-06-07 10:49 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsigndf9880888f0f0f13
2017-06-07 10:43 - 2017-06-07 10:43 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign683ac86c97f00f23
2017-06-07 09:50 - 2017-06-07 09:50 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign95d402cfbdc006ef
2017-06-07 09:23 - 2017-06-07 09:23 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsigna1a16d9387c7a4db
2017-06-07 09:11 - 2017-06-07 09:11 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign18c33a0c0d840eeb
2017-06-07 09:09 - 2017-06-07 09:09 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign991d6b69bcfe8e40
2017-06-02 22:04 - 2017-06-02 22:04 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign1ca08f9243a7a95a
2017-06-02 22:03 - 2017-06-02 22:03 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign03fb76335a1f01fd
2017-06-02 20:20 - 2017-06-02 20:20 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignaa178ec55cd0cc65
2017-06-02 20:15 - 2017-06-02 20:15 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign9d712bd61fc4d899
2017-05-29 20:35 - 2017-05-29 20:35 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign279800226075850d
2017-05-29 20:24 - 2017-05-29 20:24 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignc581988fe2b48440
2017-05-29 19:38 - 2017-05-29 19:38 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignc03c44ac366002d5
2017-05-29 19:37 - 2017-05-29 19:37 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignc5fbda6c006eba5d
2017-05-28 15:47 - 2017-05-28 15:47 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsigna3b73e1d98d062c8
2017-05-28 15:45 - 2017-05-28 15:45 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign80e108b62a9c1067
2017-05-24 23:24 - 2017-05-24 23:24 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignbebe4936b6d2f76b
2017-05-22 22:12 - 2017-05-22 22:12 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign57bfb940d866d437
2017-05-22 22:00 - 2017-05-22 22:00 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign941469c24fd31b04
2017-05-22 12:33 - 2017-05-22 12:33 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign894ef88a501dd98f
2017-05-22 12:30 - 2017-05-22 12:30 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignb9cd51d29613a784
2017-05-22 11:58 - 2017-05-22 11:58 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignba2ee8b1d6f13f1c
2017-05-22 11:55 - 2017-05-22 11:55 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignfd8af31398e5e1a8
2017-05-22 11:55 - 2017-05-22 11:55 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign1882d3c0a0d24323
2017-05-22 10:41 - 2017-05-22 10:41 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsigne612e6cfb90dcb2d
2017-05-22 10:37 - 2017-05-22 10:37 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsigne1459144d348c6eb
2017-04-01 08:07 - 2017-04-01 08:07 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign8a931f5107e03219
2017-04-01 07:41 - 2017-04-01 07:41 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignbddb02c591c299e4
2017-03-31 16:23 - 2017-03-31 16:23 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign51c9f16c8f0235a5
2017-03-31 16:23 - 2017-03-31 16:23 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign177587a408582e68
2017-03-31 08:31 - 2017-03-31 08:31 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignd18b7eeb54578b6b
2017-03-31 08:15 - 2017-03-31 08:15 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignc57da58ebb138be6
2017-03-30 22:06 - 2017-03-30 22:06 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignae1aad2bc1824831
2017-03-30 22:06 - 2017-03-30 22:06 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign545350adc19e1ead
2017-03-30 11:04 - 2017-03-30 11:04 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign6c20ef02730df230
2017-03-30 11:03 - 2017-03-30 11:03 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign6970e30d2155116e
2017-03-30 00:07 - 2017-03-30 00:07 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign027a521755f56849
2017-03-29 23:52 - 2017-03-29 23:52 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign0b059c43f113f8b2
2017-03-29 18:55 - 2017-03-29 18:55 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsigne60a110d5d86b91b
2017-03-29 18:38 - 2017-03-29 18:38 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignf3d9a1bcbe531516
2017-03-23 20:28 - 2017-03-23 20:28 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign814bfb1863851ea9
2017-03-23 20:25 - 2017-03-23 20:25 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsignabedf5b42b9fe71b
2017-03-23 18:35 - 2017-03-23 18:35 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign6f9b0b7dc78c6bb3
2017-03-23 18:28 - 2017-03-23 18:28 - 00000000 ____D C:\Users\Client42\AppData\Local\Tempzxpsign6750d3c19585c47f
2017-03-20 12:55 - 2017-03-20 12:55 - 00000000 ____D C:\Users\Client42\.zaxargamesteam
2017-03-20 12:55 - 2017-03-20 12:55 - 00000000 ____D C:\Users\Client42\.ZaxarGameBrowser
2017-03-01 19:59 - 2017-03-29 15:50 - 5211619 _____ () C:\Users\Client42\AppData\Roaming\vof.exe
2017-03-01 19:59 - 2017-03-29 15:50 - 0000040 _____ () C:\Users\Client42\AppData\Roaming\vof.exe.sha1
2017-03-01 19:59 - 2017-04-26 10:37 - 3037942 _____ () C:\Users\Client42\AppData\Roaming\vofer.exe
2017-03-01 20:02 - 2017-04-26 10:37 - 0000040 _____ () C:\Users\Client42\AppData\Roaming\vofer.exe.sha1
2017-03-09 16:24 - 2017-03-09 16:25 - 5810036 _____ () C:\Users\Client42\AppData\Roaming\Vofer2.exe
2017-03-09 16:25 - 2017-03-09 16:25 - 0000040 _____ () C:\Users\Client42\AppData\Roaming\Vofer2.exe.sha1
Task: {0A50F78B-4C6E-4EBA-8D07-F2FB8FBBF60D} - \SearchAY -> No File <==== ATTENTION
Task: {24E3BF50-C1EC-4789-9790-DEA7E11833D1} - \CDManager2 -> No File <==== ATTENTION
Task: {382282D4-D10D-461B-960C-439F8A804C8A} - \setupsk2 -> No File <==== ATTENTION
Task: {4DA30D29-3D57-4A58-8A89-2C9B4137B51D} - \ForceUpdateVOF -> No File <==== ATTENTION
Task: {671179DF-6E71-433D-B9E5-A2D5CBB6E3CF} - \vofer2 -> No File <==== ATTENTION
Task: {80634927-1DE8-4C96-8CB1-A4D0B890F6AA} - \SearchAY2 -> No File <==== ATTENTION
Task: {85BCC11D-A615-4BC2-9220-144DE87EBA6A} - \IQmanager2 -> No File <==== ATTENTION
Task: {8E5412FA-D814-4339-9C87-A38649223D62} - \ForceUpdateVOF2 -> No File <==== ATTENTION
Task: {8E5F44A0-AF1A-4B11-9E86-5FAB90866B9A} - \aswast2 -> No File <==== ATTENTION
Task: {900FB604-3B21-4F2B-B0F0-95B425C11B5C} - \IQmanager -> No File <==== ATTENTION
Task: {93155658-2FC8-400F-97C6-26E8B29C0F09} - \VOF2 -> No File <==== ATTENTION
Task: {9DA57FEE-F5E3-4016-9D89-FE4C14D9B25F} - \Vofer22 -> No File <==== ATTENTION
Task: {CB3EB99F-F9E2-46B4-BD3D-60933FF63DBB} - \setupsk -> No File <==== ATTENTION
Task: {CC270F8B-F709-4369-8140-D09569B621FF} - \httpsagepubgocomgravesm -> No File <==== ATTENTION
Task: {D5BC6F93-5D92-4771-AA4B-F3F43302B1BA} - \CDManager -> No File <==== ATTENTION
FirewallRules: [{6A710563-66F1-4213-A235-7C44BD9498F6}] => (Allow) C:\Program Files\UBar\ubar.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

Сделал.

Проблема решена?

Да, проблема решена! Огромное Вам СПАСИБО!!!

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Открывающая произвольно окна с рекламой в браузере пропала. Процессор работает нормально.
Но осталось реклама В контакте, слева внизу экрана всплывают сообщения, хотя в контакт не заходил. А когда захожу ВК и пишу сообщения всплывает видео реклама. Помогите и удалить.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

by web viewer pro

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему

Все отлично. Все решено. СПАСИБО!!!

Теперь по одному включайте. Найдете виновника, сообщите нам его имя, а само расширение удалите.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\my web shield\mweshield.exe - [B]not-a-virus:HEUR:AdWare.Win32.Mewishid.gen[/B][*] c:\program files\my web shield\mweshieldup.exe - [B]not-a-virus:HEUR:AdWare.Win32.Mewishid.gen[/B][*] c:\users\client42\appdata\locallow\searchgo\searchgo.dll - [B]not-a-virus:AdWare.Win32.Agent.xxdhrx[/B][*] c:\users\client42\appdata\roaming\adobemns\block\nsoss.exe - [B]not-a-virus:RiskTool.Win32.Generic[/B][*] c:\users\client42\appdata\roaming\aswast\app.py - [B]not-a-virus:AdWare.Python.PBot.r[/B][*] c:\users\client42\appdata\roaming\searchay\app.py - [B]not-a-virus:AdWare.Python.PBot.r[/B][*] c:\users\client42\appdata\roaming\searchay\ml.py - [B]Trojan.Python.PBot.a[/B][*] c:\users\client42\appdata\roaming\vofer2\iqmanager\ml.py - [B]Trojan.Python.PBot.a[/B][/LIST][/LIST]