Рекламные окна и тормоза IE

Printable View

07.11.2017, 09:34
alexmm

Вложений: 1

Рекламные окна и тормоза IE

Поймались рекламные окна и стал жутко тормозить и кушать память IE.
Касперски был установлен уже после.
07.11.2017, 09:36
Info_bot

Уважаемый(ая) [B]alexmm[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
07.11.2017, 18:21
lex0819

Здравствуйте!

1. Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл [b]Check_Browsers_LNK.log[/b] из логов на ClearLNK как показано на рисунке
[url=http://dragokas.com/tools/move.gif][img]http://dragokas.com/tools/move.gif[/img][/url]
* Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

2. [b]Временно отключите [url=https://virusinfo.info/showthread.php?t=130828]защитное ПО[/url][/b].

Выполните скрипт [url=https://virusinfo.info/showthread.php?t=7239]AVZ[/url].
[code]
begin
TerminateProcessByName('c:\users\lewiy\appdata\roaming\quotesmaster\python\pythonw.exe');
TerminateProcessByName('C:\Users\lewiy\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe');
TerminateProcessByName('c:\users\lewiy\appdata\roaming\cpuzapp4\cpuzapp.exe');
QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\app.py','');
QuarantineFile('C:\PROGRA~3\9c29d1ea\a7ffb53f.dll','');
QuarantineFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe','');
QuarantineFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','');
QuarantineFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe','');
QuarantineFile('c:\windows\system32\sasrv.exe','');
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
DelCLSID('{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}');
QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\ml.py','');
QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\pythonw.exe','');
QuarantineFile('C:\Users\lewiy\AppData\Roaming\CpuzApp4\CpuzApp.exe','');
QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\unicodedata.pyd','');
QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ssl.pyd','');
QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ctypes.pyd','');
QuarantineFile('C:\Users\lewiy\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','');
QuarantineFile('c:\users\lewiy\appdata\roaming\cpuzapp4\cpuzapp.exe','');
DeleteFile('c:\users\lewiy\appdata\roaming\cpuzapp4\cpuzapp.exe','32');
DeleteFile('C:\Users\lewiy\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','32');
DeleteFile('c:\users\lewiy\appdata\roaming\quotesmaster\python\pythonw.exe','32');
DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ctypes.pyd','32');
DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ssl.pyd','32');
DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\unicodedata.pyd','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CpuzApp');
DeleteFile('C:\Users\lewiy\AppData\Roaming\CpuzApp4\CpuzApp.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QuotesMaster');
DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\pythonw.exe','32');
DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\ml.py','32');
DeleteFile('C:\WINDOWS\Tasks\One System CarePeriod.job','32');
DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\App Explorer','64');
DeleteFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\CheckControllerUpdatesUA','64');
DeleteFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\One System Care Monitor','64');
DeleteFile('C:\WINDOWS\system32\Tasks\One System Care Run Delay','64');
DeleteFile('C:\WINDOWS\system32\Tasks\One System CarePeriod','64');
DeleteFile('C:\WINDOWS\system32\Tasks\OneSystemCare Task','64');
DeleteFile('C:\WINDOWS\system32\Tasks\QuotesMaster','64');
DeleteFile('C:\WINDOWS\system32\Tasks\QuotesMaster2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{1C9F93AB-8EAD-6238-AADF-7E8660F90302}','64');
DeleteFile('C:\WINDOWS\system32\Tasks\{7D7A7E47-0E0F-0B0D-7E11-0D7F0F08110F}','64');
DeleteFile('C:\PROGRA~3\9c29d1ea\a7ffb53f.dll','32');
DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\app.py','32');
ExecuteSysClean;
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.

3. Сделайте лог утилитой [url=https://virusinfo.info/showthread.php?t=146192]AdwCleaner[/url] и пришлите его.

4. Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/B92LqRQ.png[/img]
09.11.2017, 07:46
alexmm

Вложений: 4

Выполнил, логи прикрепил
09.11.2017, 13:03
lex0819

1. Уточните, этот bat-файл в автозагрузке вам нужен?
[code]
C:\Users\lewiy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\[b]Scan.bat[/b]
[/code]
Если нет, - удалите.

2. Удалите в [url=https://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

3. [list][*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 77.88.8.8
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{00856ddf-8b2b-4266-9942-4280e6361ce0}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{00856ddf-8b2b-4266-9942-4280e6361ce0}: [DhcpNameServer] 8.8.8.8 77.88.8.8
Tcpip\..\Interfaces\{00f7e521-30ff-4b02-a57b-0dc0297a8f8d}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{00f7e521-30ff-4b02-a57b-0dc0297a8f8d}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{57438975-a78d-484b-a788-df75a62f748b}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{57438975-a78d-484b-a788-df75a62f748b}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{c647fc4a-6cd5-4d55-b980-6592bed5595e}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{c647fc4a-6cd5-4d55-b980-6592bed5595e}: [DhcpNameServer] 82.163.143.176
SearchScopes: HKU\S-1-5-21-2373161986-2419526027-3941361099-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8CC9C727-DA4E-42D0-A4F7-C349CA6CD73A%7D&gp=811610
SearchScopes: HKU\S-1-5-21-2373161986-2419526027-3941361099-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8CC9C727-DA4E-42D0-A4F7-C349CA6CD73A%7D&gp=811610
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BF315E011-065C-4E8F-817C-600BCF7CD261%7D&gp=811610
FF Extension: (Поиск@Mail.Ru) - C:\Users\lewiy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-10-20]
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2017-11-03 09:47 - 2017-11-07 13:15 - 000000000 ____D C:\Users\Все пользователи\{FAB9E736-4D12-509D-F592-2D4F8B45D086}
2017-11-03 09:47 - 2017-11-07 13:15 - 000000000 ____D C:\ProgramData\{FAB9E736-4D12-509D-F592-2D4F8B45D086}
2017-11-03 09:47 - 2017-11-03 09:47 - 000000000 ____D C:\Users\Все пользователи\{D3395D3C-6492-EA97-63F5-E05279E0C4EF}
2017-11-03 09:47 - 2017-11-03 09:47 - 000000000 ____D C:\ProgramData\{D3395D3C-6492-EA97-63F5-E05279E0C4EF}
2017-10-20 15:16 - 2017-11-09 12:23 - 000000000 ____D C:\Program Files (x86)\Smart Application Controller
2017-10-20 15:16 - 2017-10-26 14:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Application Controller
2017-10-20 15:16 - 2017-10-20 16:05 - 000000000 ____D C:\Users\lewiy\AppData\Roaming\QuotesMaster
2017-10-20 15:16 - 2017-10-20 15:16 - 000000000 ____D C:\Users\lewiy\AppData\Roaming\Smart Application Controller
QuotesMaster (HKU\S-1-5-21-2373161986-2419526027-3941361099-1001\...\QuotesMaster) (Version: - )
Smart Application Controller (HKLM-x32\...\{A6AE177E-D46B-4463-AA69-B9F818E0DC4A}_is1) (Version: 1.00 - Smart Application Controller)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
Task: {0D57BF31-BDD4-4921-94A3-19966869D825} - \QuotesMaster2 -> No File <==== ATTENTION
Task: {1EC488A2-A279-4072-8021-A4A4D4181BDB} - \QuotesMaster -> No File <==== ATTENTION
Task: {24557C09-F1D5-465D-AB36-9ABE8AD2857F} - \OneSystemCare Task -> No File <==== ATTENTION
Task: {8C60272B-2498-4E57-A305-C74831DD74BC} - \CheckControllerUpdatesUA -> No File <==== ATTENTION
Task: {9DF3CAC8-002B-41C7-8F98-210024B84153} - \{1C9F93AB-8EAD-6238-AADF-7E8660F90302} -> No File <==== ATTENTION
Task: {DB9B60E1-6793-4AA0-AF6C-3CA6D2D44B53} - \{DB24CC12-6C8F-7BB9-2457-A6F74EF1BFBF} -> No File <==== ATTENTION
DNS Servers: 82.163.143.176 - 82.163.142.178
C:\Users\lewiy\AppData\Local\MediaGet2
EmptyTemp:
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]