Здравствуйте, хром открывает вкладки через некоторое время после работы. Также запускается ИЕ с рекламой.
Здравствуйте, хром открывает вкладки через некоторое время после работы. Также запускается ИЕ с рекламой.
Уважаемый(ая) zoorik, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Уведомление
Все действия с утилитами лечения выполняйте только с правами администратора системы
Программы необходимо запускать через правую кнопку мыши Запуск от имени администратора).
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\program files\spacesoundpro\spacesoundpro.exe'); StopService('creportSrv'); StopService('HSystem'); StopService('rowugoqo'); StopService('SPS'); StopService('sudyxyjizbt'); QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\yessearches-bnd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\Oursoft', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0); QuarantineFileF('C:\Program Files (x86)\Window Update', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0); QuarantineFileF('C:\ProgramData\Tmp0x0x', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0 , 0); QuarantineFile('c:\program files\spacesoundpro\spacesoundpro.exe', ''); QuarantineFile('C:\Program Files (x86)\yessearches-bnd\creport.exe', ''); QuarantineFile('C:\Program Files (x86)\Oursoft\qAtaMj.exe', ''); QuarantineFile('C:\Users\admin\AppData\Local\B24FD59F-1451947389-E111-9C67-10BF48555068\snsu49BE.tmp', ''); QuarantineFile('C:\Windows\SysWOW64\SearchProtectService.exe', ''); QuarantineFile('C:\Program Files (x86)\B24FD59F-1451929286-E111-9C67-10BF48555068\knss5426.tmp', ''); QuarantineFile('C:\Program Files (x86)\Window Update\server Update\server.exe', ''); QuarantineFile('C:\Program Files (x86)\TDataDld\TData.exe', ''); QuarantineFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', ''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', ''); QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', ''); QuarantineFile('C:\Program Files (x86)\SpaceSondPro_v53.11643\ioproduct_service.bat', ''); QuarantineFile('C:\ProgramData\Tmp0x0x\P', ''); QuarantineFile('C:\ProgramData\YqgMbv\mHNDHJvT0.bat', ''); QuarantineFile('C:\ProgramData\vCQrDOvCTuE\DarxzRlR5.bat', ''); QuarantineFile('C:\Windows\system32\searchprotectservice.exe', ''); DeleteFile('c:\program files\spacesoundpro\spacesoundpro.exe', '32'); DeleteFile('C:\Program Files (x86)\yessearches-bnd\creport.exe', '32'); DeleteFile('C:\Program Files (x86)\Oursoft\qAtaMj.exe', '32'); DeleteFile('C:\Users\admin\AppData\Local\B24FD59F-1451947389-E111-9C67-10BF48555068\snsu49BE.tmp', '32'); DeleteFile('C:\Windows\SysWOW64\SearchProtectService.exe', '32'); DeleteFile('C:\Program Files (x86)\B24FD59F-1451929286-E111-9C67-10BF48555068\knss5426.tmp', '32'); DeleteFile('C:\Program Files (x86)\Window Update\server Update\server.exe', '32'); DeleteFile('C:\Program Files (x86)\TDataDld\TData.exe', '32'); DeleteFile('C:\Windows\system32\drivers\swsedrvr_vt_1_10_0_25.sys', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32'); DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32'); DeleteFile('C:\Program Files (x86)\SpaceSondPro_v53.11643\ioproduct_service.bat', '32'); DeleteFile('C:\ProgramData\Tmp0x0x\P', '32'); DeleteFile('C:\ProgramData\YqgMbv\mHNDHJvT0.bat', '32'); DeleteFile('C:\ProgramData\vCQrDOvCTuE\DarxzRlR5.bat', '32'); DeleteFile('C:\Windows\system32\searchprotectservice.exe', '32'); DeleteService('creportSrv'); DeleteService('HSystem'); DeleteService('rowugoqo'); DeleteService('SPS'); DeleteService('sudyxyjizbt'); DeleteService('server'); DeleteService('TDataSvr'); DeleteService('swsedrvr_vt_1_10_0_25'); DeleteFileMask('c:\program files\spacesoundpro', '*', true); DeleteFileMask('C:\Program Files (x86)\yessearches-bnd', '*', true); DeleteFileMask('C:\Program Files (x86)\Oursoft', '*', true); DeleteFileMask('C:\Program Files (x86)\Window Update', '*', true); DeleteFileMask('C:\Program Files (x86)\TDataDld', '*', true); DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true); DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true); DeleteDirectory('c:\program files\spacesoundpro'); DeleteDirectory('C:\Program Files (x86)\yessearches-bnd'); DeleteDirectory('C:\Program Files (x86)\Oursoft'); DeleteDirectory('C:\Program Files (x86)\Window Update'); DeleteDirectory('C:\Program Files (x86)\TDataDld'); DeleteDirectory('C:\Program Files (x86)\Zaxar'); DeleteDirectory('C:\ProgramData\Tmp0x0x'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'IOPROTECT'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SpaceSoundPro'); ExecuteSysClean; ExecuteRepair(4); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
Сделайте лог AdwCleaner (by Xplode).
Сделайте лог Check Browsers' LNK.
WBR,
Vadim
Здравствуйте, сделал, вот логи
Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если используете программы от Yandex - браузер, Яндекс.Диск, Punto Switcher - обязательно уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминается Yandex. Уберите также галочки на этих вкладках со всех пунктов, где упоминается Mail.Ru - только если используете программы от этого портала.
В пункте меню "Настройки" (Settings)установите галочку "Сброс политик Chrome".
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
WBR,
Vadim
вроде проблем не обнаружено, но после перезагрузки файл отчета ADWCLEANER не открылся. Сформировать его заново?
Посмотрите в папке C:\Adwcleaner.
WBR,
Vadim
Готово!
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
WBR,
Vadim
Пожалуйста
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:CreateRestorePoint: HKU\S-1-5-21-1524529735-1970446066-4134256166-1000\...\Run: [C] => cmd /c(@attrib -H -R -S C:\Windows\system32\GroupPolicy\Machine\Registry.pol >nul)&(@copy/b/y C:\Windows\system32\GroupPolicy\Machine\R C:\Windows\system32\GroupPolicy\Machine\Registry.pol >nul)&(@att (the data entry has 99 more characters). HKU\S-1-5-21-1524529735-1970446066-4134256166-1000\...\RunOnce: [Report] => \AdwCleaner\AdwCleaner[C1].txt HKU\S-1-5-21-1524529735-1970446066-4134256166-1001\...\MountPoints2: {96034940-b225-11e5-82e8-806e6f6e6963} - G:\DriverPackSolution.exe ShortcutTarget: Punto Switcher.lnk -> C:\Program Files (x86)\Yandex\Punto Switcher\punto.exe (No File) S2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X] 2016-01-13 13:28 - 2016-01-13 13:28 - 00000000 ____D C:\ProgramData\ZefVNwTHLrUUN 2016-01-13 13:28 - 2016-01-13 13:28 - 00000000 ____D C:\ProgramData\xjSiZRjqKDboHa 2016-01-12 18:02 - 2016-01-12 18:02 - 00000000 ____D C:\ProgramData\dyKfxKKmVsFzjs 2016-01-12 13:29 - 2016-01-12 13:29 - 00000000 ____D C:\ProgramData\YqgMbv 2016-01-12 13:29 - 2016-01-12 13:29 - 00000000 ____D C:\ProgramData\vCQrDOvCTuE 2016-01-07 00:59 - 2016-01-07 00:59 - 00000000 ____D C:\ProgramData\UZlmBlzis 2016-01-07 00:59 - 2016-01-07 00:59 - 00000000 ____D C:\ProgramData\OWCrpGcCwBI 2016-01-06 00:15 - 2016-01-06 00:15 - 00000000 ____D C:\Users\Все пользователи\UkBVvfPQfBPnM 2016-01-06 00:15 - 2016-01-06 00:15 - 00000000 ____D C:\Users\Все пользователи\hWvSFNq 2016-01-06 00:04 - 2016-01-06 00:04 - 00000000 ____D C:\Users\user\AppData\Roaming\ProductData 2016-01-06 00:03 - 2016-01-13 09:29 - 00000000 ____D C:\Users\Все пользователи\ProductData 2016-01-06 00:03 - 2016-01-06 00:03 - 00000000 ____D C:\Users\user\AppData\Roaming\IObit 2016-01-06 00:02 - 2016-01-06 00:04 - 00000000 ____D C:\ProgramData\IObit 2016-01-06 00:02 - 2016-01-06 00:02 - 01421258 _____ C:\Users\user\Downloads\Не подтвержден 625426.crdownload 2016-01-06 00:02 - 2016-01-06 00:02 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0} 2016-01-06 00:01 - 2016-01-06 00:04 - 00000000 ____D C:\Program Files (x86)\IObit 2016-01-06 00:01 - 2016-01-06 00:03 - 00000000 ____D C:\Users\admin\AppData\Roaming\IObit 2016-01-06 00:01 - 2016-01-06 00:01 - 00000000 ____D C:\Users\admin\AppData\Local\Hostinstaller 2016-01-05 20:15 - 2016-01-05 20:15 - 00000000 ____D C:\ProgramData\WxZRjIW 2016-01-05 20:15 - 2016-01-05 20:15 - 00000000 ____D C:\ProgramData\iTcNkSfxX 2016-01-05 02:38 - 2016-01-05 02:38 - 00000000 ____D C:\Users\Все пользователи\iHSQlxRb 2016-01-05 02:38 - 2016-01-05 02:38 - 00000000 ____D C:\ProgramData\iHSQlxRb 2016-01-05 02:37 - 2016-01-05 02:37 - 00000000 ____D C:\ProgramData\NIPEGBtsVRapBuj 2016-01-05 02:37 - 2016-01-05 02:37 - 00000000 ____D C:\ProgramData\fxtlJajAYateRGr 2016-01-04 22:42 - 2016-01-04 22:39 - 00000967 _____ C:\Windows\system32\Drivers\etc\hp.bak 2016-01-04 22:40 - 2016-01-06 00:02 - 00000176 _____ C:\Users\admin\Desktop\Искать в Интернете.url 2016-01-04 22:40 - 2016-01-04 22:40 - 00000000 ____D C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго 2016-01-04 22:38 - 2016-01-14 13:48 - 00001405 _____ C:\Users\admin\Desktop\Интернет.lnk 2016-01-04 22:38 - 2016-01-06 00:02 - 00000000 ____D C:\Users\admin\AppData\Roaming\MailProducts 2016-01-04 22:38 - 2016-01-04 22:38 - 00000000 ____D C:\Users\user\AppData\Roaming\MailProducts 2016-01-04 22:36 - 2016-01-04 22:37 - 00000000 ____D C:\Users\admin\Downloads\Torrentex 2016-01-04 22:36 - 2016-01-04 22:36 - 00000000 ____D C:\Users\Все пользователи\nrcGpSUHPatRpE Task: {2FD6EB36-575E-4710-8539-49D0B9564D85} - System32\Tasks\adminSaracensDeploresV2 => Rundll32.exe ContritenessNicknames.dll,main 7 1 <==== ATTENTION Task: {6A8F9592-2975-4CDA-A0B5-45ADBF55E32B} - System32\Tasks\Uninstaller_SkipUac_user => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe FirewallRules: [{E2221784-DF15-4D83-8AB9-AFB768B63842}] => (Allow) C:\Torrentex\Torrentex.exe FirewallRules: [{8C12F13B-10F8-4D54-A5E7-DF385B12B17B}] => (Allow) C:\Torrentex\Torrentex.exe FirewallRules: [{50EB4650-9EEB-4201-A3A9-038CF7538C3F}] => (Allow) C:\Users\admin\AppData\Local\Amigo\Application\amigo.exe Reg: reg delete "HKU\S-1-5-21-1524529735-1970446066-4134256166-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\Amigo" /f CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IObit Surfing Protection_is1" /f /reg:32 EmptyTemp: Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
WBR,
Vadim
Доброе утро.
Лог файл прикреплен
Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
WBR,
Vadim
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 16
- В ходе лечения обнаружены вредоносные программы:
- c:\program files (x86)\window update\server update\server.exe - not-a-virus:AdWare.Win32.ELEX.hp
- c:\program files (x86)\window update\task update\task.exe - not-a-virus:AdWare.Win32.ELEX.hp
- c:\program files (x86)\yessearches-bnd\executer.exe - not-a-virus:Downloader.Win32.YeSearch.f
- c:\program files (x86)\yessearches-bnd\ffprefexec.exe - not-a-virus:AdWare.Win32.ELEX.if
- c:\program files (x86)\yessearches-bnd\wtsapi32\bfcinstaller.exe - not-a-virus:AdWare.Win32.ELEX.if
- c:\program files (x86)\yessearches-bnd\wtsapi32\wtsapi32_x64.dll - not-a-virus:AdWare.Win32.ELEX.if
- c:\program files (x86)\yessearches-bnd\wtsapi32\wtsapi32_x86.dll - not-a-virus:AdWare.Win32.ELEX.if
- c:\programdata\timetasks\timetasks.exe - not-a-virus:Downloader.Win32.Agent.ecsx ( DrWEB: Adware.Zaxar.37 )
- c:\programdata\vcqrdovctue\darxzrlr5.bat - Trojan.BAT.Starter.gp
- c:\programdata\yqgmbv\mhndhjvt0.bat - Trojan.BAT.Starter.gp
- c:\windows\system32\drivers\swsedrvr_vt_1_10_0_25. sys - not-a-virus:NetTool.Win64.NetFilter.l ( DrWEB: Adware.Plugin.1201 )
- c:\windows\system32\searchprotectservice.exe - not-a-virus:AdWare.Win32.SearchProtect.tv
- c:\windows\syswow64\searchprotectservice.exe - not-a-virus:AdWare.Win32.SearchProtect.tv
Уважаемый(ая) zoorik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.