Рекламные окна и тормоза IE

**alexmm** · 07.11.2017, 09:34

Поймались рекламные окна и стал жутко тормозить и кушать память IE.
Касперски был установлен уже после.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 07.11.2017, 09:36

Уважаемый(ая) alexmm, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**lex0819** · 07.11.2017, 18:21

Здравствуйте!

1. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

2. Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
 TerminateProcessByName('c:\users\lewiy\appdata\roaming\quotesmaster\python\pythonw.exe');
 TerminateProcessByName('C:\Users\lewiy\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe');
 TerminateProcessByName('c:\users\lewiy\appdata\roaming\cpuzapp4\cpuzapp.exe');
 QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\app.py','');
 QuarantineFile('C:\PROGRA~3\9c29d1ea\a7ffb53f.dll','');
 QuarantineFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe','');
 QuarantineFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','');
 QuarantineFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe','');
 QuarantineFile('c:\windows\system32\sasrv.exe','');
 DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
 DelCLSID('{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}');
 QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\ml.py','');
 QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\pythonw.exe','');
 QuarantineFile('C:\Users\lewiy\AppData\Roaming\CpuzApp4\CpuzApp.exe','');
 QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\unicodedata.pyd','');
 QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ssl.pyd','');
 QuarantineFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ctypes.pyd','');
 QuarantineFile('C:\Users\lewiy\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','');
 QuarantineFile('c:\users\lewiy\appdata\roaming\cpuzapp4\cpuzapp.exe','');
 DeleteFile('c:\users\lewiy\appdata\roaming\cpuzapp4\cpuzapp.exe','32');
 DeleteFile('C:\Users\lewiy\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe','32');
 DeleteFile('c:\users\lewiy\appdata\roaming\quotesmaster\python\pythonw.exe','32');
 DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ctypes.pyd','32');
 DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\_ssl.pyd','32');
 DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\unicodedata.pyd','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CpuzApp');
 DeleteFile('C:\Users\lewiy\AppData\Roaming\CpuzApp4\CpuzApp.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','QuotesMaster');
 DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\python\pythonw.exe','32');
 DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\ml.py','32');
 DeleteFile('C:\WINDOWS\Tasks\One System CarePeriod.job','32');
 DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\App Explorer','64');
 DeleteFile('C:\Program Files (x86)\Smart Application Controller\smappscontroller.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\CheckControllerUpdatesUA','64');
 DeleteFile('C:\Program Files (x86)\OneSystemCare\CleanupConsole.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\One System Care Monitor','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\One System Care Run Delay','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\One System CarePeriod','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\OneSystemCare Task','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\QuotesMaster','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\QuotesMaster2','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{1C9F93AB-8EAD-6238-AADF-7E8660F90302}','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\{7D7A7E47-0E0F-0B0D-7E11-0D7F0F08110F}','64');
 DeleteFile('C:\PROGRA~3\9c29d1ea\a7ffb53f.dll','32');
 DeleteFile('C:\Users\lewiy\AppData\Roaming\QuotesMaster\app.py','32');
ExecuteSysClean;
ExecuteRepair(4);
ExecuteRepair(6);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

3. Сделайте лог утилитой AdwCleaner и пришлите его.

4. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**alexmm** · 09.11.2017, 07:46

Выполнил, логи прикрепил

**lex0819** · 09.11.2017, 13:03

1. Уточните, этот bat-файл в автозагрузке вам нужен?

Код:

C:\Users\lewiy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Scan.bat

Если нет, - удалите.

2. Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

3.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 77.88.8.8
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{00856ddf-8b2b-4266-9942-4280e6361ce0}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{00856ddf-8b2b-4266-9942-4280e6361ce0}: [DhcpNameServer] 8.8.8.8 77.88.8.8
Tcpip\..\Interfaces\{00f7e521-30ff-4b02-a57b-0dc0297a8f8d}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{00f7e521-30ff-4b02-a57b-0dc0297a8f8d}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{57438975-a78d-484b-a788-df75a62f748b}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{57438975-a78d-484b-a788-df75a62f748b}: [DhcpNameServer] 82.163.143.176
Tcpip\..\Interfaces\{c647fc4a-6cd5-4d55-b980-6592bed5595e}: [NameServer] 82.163.143.176 82.163.142.178
Tcpip\..\Interfaces\{c647fc4a-6cd5-4d55-b980-6592bed5595e}: [DhcpNameServer] 82.163.143.176
SearchScopes: HKU\S-1-5-21-2373161986-2419526027-3941361099-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8CC9C727-DA4E-42D0-A4F7-C349CA6CD73A%7D&gp=811610
SearchScopes: HKU\S-1-5-21-2373161986-2419526027-3941361099-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B8CC9C727-DA4E-42D0-A4F7-C349CA6CD73A%7D&gp=811610
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811600
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BF315E011-065C-4E8F-817C-600BCF7CD261%7D&gp=811610
FF Extension: (Поиск@Mail.Ru) - C:\Users\lewiy\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-10-20]
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2017-11-03 09:47 - 2017-11-07 13:15 - 000000000 ____D C:\Users\Все пользователи\{FAB9E736-4D12-509D-F592-2D4F8B45D086}
2017-11-03 09:47 - 2017-11-07 13:15 - 000000000 ____D C:\ProgramData\{FAB9E736-4D12-509D-F592-2D4F8B45D086}
2017-11-03 09:47 - 2017-11-03 09:47 - 000000000 ____D C:\Users\Все пользователи\{D3395D3C-6492-EA97-63F5-E05279E0C4EF}
2017-11-03 09:47 - 2017-11-03 09:47 - 000000000 ____D C:\ProgramData\{D3395D3C-6492-EA97-63F5-E05279E0C4EF}
2017-10-20 15:16 - 2017-11-09 12:23 - 000000000 ____D C:\Program Files (x86)\Smart Application Controller
2017-10-20 15:16 - 2017-10-26 14:04 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Application Controller
2017-10-20 15:16 - 2017-10-20 16:05 - 000000000 ____D C:\Users\lewiy\AppData\Roaming\QuotesMaster
2017-10-20 15:16 - 2017-10-20 15:16 - 000000000 ____D C:\Users\lewiy\AppData\Roaming\Smart Application Controller
QuotesMaster (HKU\S-1-5-21-2373161986-2419526027-3941361099-1001\...\QuotesMaster) (Version:  - )
Smart Application Controller (HKLM-x32\...\{A6AE177E-D46B-4463-AA69-B9F818E0DC4A}_is1) (Version: 1.00 - Smart Application Controller)
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Task: {0D57BF31-BDD4-4921-94A3-19966869D825} - \QuotesMaster2 -> No File <==== ATTENTION
Task: {1EC488A2-A279-4072-8021-A4A4D4181BDB} - \QuotesMaster -> No File <==== ATTENTION
Task: {24557C09-F1D5-465D-AB36-9ABE8AD2857F} - \OneSystemCare Task -> No File <==== ATTENTION
Task: {8C60272B-2498-4E57-A305-C74831DD74BC} - \CheckControllerUpdatesUA -> No File <==== ATTENTION
Task: {9DF3CAC8-002B-41C7-8F98-210024B84153} - \{1C9F93AB-8EAD-6238-AADF-7E8660F90302} -> No File <==== ATTENTION
Task: {DB9B60E1-6793-4AA0-AF6C-3CA6D2D44B53} - \{DB24CC12-6C8F-7BB9-2457-A6F74EF1BFBF} -> No File <==== ATTENTION
DNS Servers: 82.163.143.176 - 82.163.142.178
C:\Users\lewiy\AppData\Local\MediaGet2
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Рекламные окна и тормоза IE (заявка № 216158)

Опции темы