Заражение вирусами mail.ru и другими

Вирусы атакуют рекламой в браузере. [ATTACH=CONFIG]663137[/ATTACH]

Уважаемый(ая) [B]Olle.shum[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Windows\system32\drivers\wfcre.sys', '');
QuarantineFile('C:\Program Files (x86)\MafarchU\7XhYKjY.dll', '');
QuarantineFile('C:\Program Files (x86)\MafarchU2\HmLm6ps.dll', '');
QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\6.1.2107.204\Installer\chrmstp.exe', '');
DeleteFile('C:\Windows\Tasks\B3A986DC-C2DD-40A0-8C0C-FEF66B783511.job', '64');
DeleteFile('C:\Windows\system32\drivers\wfcre.sys', '32');
DeleteFile('C:\Program Files (x86)\MafarchU\7XhYKjY.dll', '32');
DeleteFile('C:\Program Files (x86)\MafarchU2\HmLm6ps.dll', '32');
DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.1.2107.204\Installer\chrmstp.exe', '32');
DeleteService('wfcre');
DeleteFileMask('c:\program files (x86)\mafarchu', '*', true);
DeleteFileMask('c:\program files (x86)\mafarchu2', '*', true);
DeleteFileMask('c:\program files (x86)\ucbrowser', '*', true);
DeleteDirectory('c:\program files (x86)\mafarchu');
DeleteDirectory('c:\program files (x86)\mafarchu2');
DeleteDirectory('c:\program files (x86)\ucbrowser');
ExecuteFile('schtasks.exe', '/delete /TN "B3A986DC-C2DD-40A0-8C0C-FEF66B783511" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "B3A986DC-C2DD-40A0-8C0C-FEF66B7835112" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "U2_B3A986DC-C2DD-40A0-8C0C-FEF66B783511" /F', 0, 15000, true);
DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(13);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].

Все готово. Только карантин по кнопке вверху не грузится, говорит, что уже загружен, поэтому цепляю сюда оба файла.

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Удалите расширения от Mail.Ru в браузерах, если остались.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.

Все сделал, проблема не решена. При работе в браузере открываются "левые" страницы. После повторного сканирования ADWcleaner опять находит PUP.Optional.MailRU

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

ГОтово.

Запустите FRST/FRST64. Нажмите в окне программы комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:[CODE]CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
2017-07-18 00:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\GD59VK2O0B
2017-07-18 00:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\AF360J76ZC
2017-07-18 00:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\A1TQA6GL0U
2017-07-18 00:23 - 2017-07-18 00:46 - 00000000 ____D C:\Users\Acer\AppData\Roaming\ztyi40j0xio
2017-07-18 00:23 - 2017-07-18 00:46 - 00000000 ____D C:\Users\Acer\AppData\Roaming\lftfkpwlugg
2017-07-18 00:23 - 2017-07-18 00:23 - 00000000 ____D C:\Users\Acer\AppData\Roaming\ifqlt15e4gw
2017-07-17 23:44 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\TXN2EH4MC4
2017-07-17 23:44 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\S4D0N8C0WR
2017-07-17 23:44 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\1YXZ4DOEQ5
2017-07-17 23:44 - 2017-07-18 00:46 - 00000000 ____D C:\Users\Acer\AppData\Roaming\3jzmovssovv
2017-07-17 23:44 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\w3xfp3oamyn
2017-07-17 23:44 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\lalniupvbg4
2017-07-17 23:40 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\W0SXU6EYSY
2017-07-17 23:40 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\dbr4fvuly4c
2017-07-17 23:39 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\II0WLKDB59
2017-07-17 23:39 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\0TG0GIJ8X5
2017-07-17 23:39 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5jfd2r0nimt
2017-07-17 23:39 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\1v10drf3u5j
2017-07-17 23:17 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\AJ9IAPMRT0
2017-07-17 23:17 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\87QBJ4OWEK
2017-07-17 23:17 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\0IOBQTGOD5
2017-07-17 23:17 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\peaw2crnp24
2017-07-17 23:17 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\b2rzduqtrcy
2017-07-17 23:17 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\0iufhehhpbw
2017-07-17 23:16 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\OUESYV6MIM
2017-07-17 23:16 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\JIMJGUQXO6
2017-07-17 23:16 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\G069ASO0AU
2017-07-17 23:16 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\yyeta3kfvey
2017-07-17 23:16 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\iqvzedv52wd
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\Z1ALMSXO11
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\SOT5S97JO8
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\NCHTGYX4E2
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\60L577R5FS
2017-07-17 23:07 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\xid5womtoc3
2017-07-17 23:07 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\oupsplat3mb
2017-07-17 23:07 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\kh3pbwiw5g0
2017-07-17 23:06 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\JVDPRBSZU9
2017-07-17 23:06 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\4HWJOBFTXX
2017-07-17 23:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\qicv24c5a1k
2017-07-17 23:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\pe1qaci3ik1
2017-07-17 23:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\imhwetc3cr0
2017-07-17 23:06 - 2017-07-17 23:06 - 00000000 ____D C:\Users\Администратор\AppData\Local\UCBrowser
2017-07-17 22:53 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\T5KNF1FKH4
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\VWWY3U0Q0E
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\SLGORFGTI7
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\N80TYX9K8L
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\L68Q1OEWQH
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\4OD0Y9RWV2
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\z53meox0tab
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\yoyroflsh3h
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\ujbpdtfl3wg
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\lnefpzgbhss
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5oxckclka1d
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\4r5i1rx0b2w
2017-07-17 22:36 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\ZEELV9LDZH
2017-07-17 22:36 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\YMP0RZVX2V
2017-07-17 22:36 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\7XHKUWCK4R
2017-07-17 22:36 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\hy2tcw2o1zh
2017-07-17 22:36 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\enkch3zh3nj
2017-07-17 22:36 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\3xajay5n4sv
2017-07-17 22:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\LOUS6EQP9H
2017-07-17 22:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\HQPQW7H8B9
2017-07-17 22:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\BUOBEUV9JQ
2017-07-17 22:23 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\rdzlq2bh4hz
2017-07-17 22:23 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\i0lytpgdeue
2017-07-17 22:23 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\gjkfa2buiib
2017-07-17 22:09 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\5AO308CKQO
2017-07-17 22:09 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5sd3k3vwptl
2017-07-17 21:38 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\UXBFVW2ZTC
2017-07-17 21:38 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\mpp4ohd4o0x
2017-07-17 21:08 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\KI00M3LZ0Y
2017-07-17 21:08 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\cbnvy0arisj
2017-07-17 20:38 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\H0D7NA3V7M
2017-07-17 20:37 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\l21aijulouu
2017-07-17 20:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\9E1NOCIP02
2017-07-17 20:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\cj5wztuxrna
2017-07-17 19:37 - 2017-07-17 19:37 - 00000000 ____D C:\Users\Acer\AppData\Local\UCBrowser
2017-07-17 19:35 - 2017-07-10 09:25 - 02017280 ___SH (Micrasaft Carparation) C:\Windows\C_02iu57.dat
2017-07-17 19:34 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\J81N6PXI00
2017-07-17 19:34 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5yx0cepgy23
2017-07-17 19:31 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\R932U7VR8D
2017-07-17 19:31 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\K9GCSD3J13
2017-07-17 19:31 - 2017-07-18 00:46 - 00000000 ____D C:\Program Files (x86)\vf25hbb1w45
2017-07-17 19:31 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\sf10hybdsdu
Task: {888F4295-10EC-49B6-A815-6C887B3D0C71} - \Lingvoter for Acrobat Software -> No File <==== ATTENTION
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "5247C04YIW0YXJB"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "9DN05MLP0KZ1R1I"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "SKG3DK6F8JPTE0V"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "UQHP896B7VOINJD"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "V9EOR6FTBF6NZZB"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "9N97ZWEFPUCF31G"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "O76D3LNALMEQ6AD"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "RK8811HV6EMTY6L"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "A567I4WADGTF65N"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "NAMKGHRZ7K7Y906"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "6YZM0PPD8V6LM4K"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "JK10NX2PO8W7DEW"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "VD1P9V1ZN73CXNP"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "ATGUOFWB6XKRAVU"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "A6VUIH1MIHFUOZA"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "PGAAJSG7O2MCWBV"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "FNTZ2U4HWMCAHV8"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "YTLSNA3O7T7PMP2"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "RUIG6SMN72ZUGUF"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "AMCFD0YHGCDMDSC"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "TBOK38C4QAP34GA"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "P7UL4SWTWLRH76K"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "D60K1KKKR23I6VV"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "y1wvgmki3ez"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tqhp3mvciva"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "jst1tsasoml"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "z5xf1re0kz4"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "wymflhmoduk"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tnc1xar32si"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tug1p4d4bgx"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "lc0xdcu2izy"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "255rpgq11zt"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "4bkukj42gxy"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "ioomyjtje55"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "pk1xp250j41"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "r3mnaoyw4up"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "25xh44ep4xp"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "goxsip2xlxb"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "rmeoul3tvb0"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "iqoj44d0nzj"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "h4syenjae2j"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "so0cugkgftv"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "he2mf31kjp3"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "dyqgkstpuqm"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tce2jhblyvw"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "dobeiedm1tw"
Reboot:[/CODE]
Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемой.

Проблема решена частично. Выскакивание "левых" страниц в браузере сократилось, но осталась навязчивая реклама вверху части страниц и еще Malwarebytes постоянно блокирует какой-то переход. Вместе с лог-файлом цепляю скрин на котором видно и рекламу и блокировку перехода. Спасибо.

Отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.

Я переустановил Chrome, т.к. заметил, что после очистки кэш и cookies-файлов, cookies не очищается. Пока выскакивание "левых" страниц прекратилось, но осталась баннерная реклама и AdwCleaner по прежнему находит PUP.Optional.mail.ru и PUP.optional.Legasy.
P.S. Через 5 минут работы в Chrome опять началось
Malwarebytes постоянно блокирует какие-то переходы.

[URL="https://support.google.com/chrome/answer/3097271?hl=ru"]Eстраните проблемы с синхронизацией Google[/URL].

Снова здравствуйте. Все сделал как сказано, наблюдал некоторое время. При всех выключенных расширениях Chrome реклама при открытии некоторых страниц остается. Malwarebytes блокирует попытки обращения к "левым" ресурсам типа trafmag.com.

Ссылки на trafmag.com и реклама на многих сайтах присутствует. Совсем это не задавить.

Хорошо, Спасибо!!!

Запустите AdwCleaner и нажмите [B]Файл (File) -> Удалить (Uninstall)[/B].

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]