Заражение вирусами mail.ru и другими

**Olle.shum** · 18.07.2017, 14:36

Вирусы атакуют рекламой в браузере. CollectionLog-2017.07.18-14.22.zip

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 18.07.2017, 14:39

Уважаемый(ая) Olle.shum, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.07.2017, 12:27

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Windows\system32\drivers\wfcre.sys', '');
 QuarantineFile('C:\Program Files (x86)\MafarchU\7XhYKjY.dll', '');
 QuarantineFile('C:\Program Files (x86)\MafarchU2\HmLm6ps.dll', '');
 QuarantineFile('C:\Program Files (x86)\UCBrowser\Application\6.1.2107.204\Installer\chrmstp.exe', '');
 DeleteFile('C:\Windows\Tasks\B3A986DC-C2DD-40A0-8C0C-FEF66B783511.job', '64');
 DeleteFile('C:\Windows\system32\drivers\wfcre.sys', '32');
 DeleteFile('C:\Program Files (x86)\MafarchU\7XhYKjY.dll', '32');
 DeleteFile('C:\Program Files (x86)\MafarchU2\HmLm6ps.dll', '32');
 DeleteFile('C:\Program Files (x86)\UCBrowser\Application\6.1.2107.204\Installer\chrmstp.exe', '32');
 DeleteService('wfcre');
 DeleteFileMask('c:\program files (x86)\mafarchu', '*', true);
 DeleteFileMask('c:\program files (x86)\mafarchu2', '*', true);
 DeleteFileMask('c:\program files (x86)\ucbrowser', '*', true);
 DeleteDirectory('c:\program files (x86)\mafarchu');
 DeleteDirectory('c:\program files (x86)\mafarchu2');
 DeleteDirectory('c:\program files (x86)\ucbrowser');
 ExecuteFile('schtasks.exe', '/delete /TN "B3A986DC-C2DD-40A0-8C0C-FEF66B783511" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "B3A986DC-C2DD-40A0-8C0C-FEF66B7835112" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "U2_B3A986DC-C2DD-40A0-8C0C-FEF66B783511" /F', 0, 15000, true);
 DelCLSID('{65122CB0-EA0F-47DF-A953-017170ED12F9}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте лог Malwarebytes AdwCleaner.

**Olle.shum** · 23.07.2017, 09:57

Все готово. Только карантин по кнопке вверху не грузится, говорит, что уже загружен, поэтому цепляю сюда оба файла.

**Vvvyg** · 23.07.2017, 22:06

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Удалите расширения от Mail.Ru в браузерах, если остались.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.

**Olle.shum** · 23.07.2017, 23:29

Все сделал, проблема не решена. При работе в браузере открываются "левые" страницы. После повторного сканирования ADWcleaner опять находит PUP.Optional.MailRU

**Vvvyg** · 24.07.2017, 07:04

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**Olle.shum** · 24.07.2017, 09:27

ГОтово.

**Vvvyg** · 24.07.2017, 21:24

Запустите FRST/FRST64. Нажмите в окне программы комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
2017-07-18 00:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\GD59VK2O0B
2017-07-18 00:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\AF360J76ZC
2017-07-18 00:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\A1TQA6GL0U
2017-07-18 00:23 - 2017-07-18 00:46 - 00000000 ____D C:\Users\Acer\AppData\Roaming\ztyi40j0xio
2017-07-18 00:23 - 2017-07-18 00:46 - 00000000 ____D C:\Users\Acer\AppData\Roaming\lftfkpwlugg
2017-07-18 00:23 - 2017-07-18 00:23 - 00000000 ____D C:\Users\Acer\AppData\Roaming\ifqlt15e4gw
2017-07-17 23:44 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\TXN2EH4MC4
2017-07-17 23:44 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\S4D0N8C0WR
2017-07-17 23:44 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\1YXZ4DOEQ5
2017-07-17 23:44 - 2017-07-18 00:46 - 00000000 ____D C:\Users\Acer\AppData\Roaming\3jzmovssovv
2017-07-17 23:44 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\w3xfp3oamyn
2017-07-17 23:44 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\lalniupvbg4
2017-07-17 23:40 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\W0SXU6EYSY
2017-07-17 23:40 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\dbr4fvuly4c
2017-07-17 23:39 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\II0WLKDB59
2017-07-17 23:39 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\0TG0GIJ8X5
2017-07-17 23:39 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5jfd2r0nimt
2017-07-17 23:39 - 2017-07-18 00:43 - 00000000 ____D C:\Users\Acer\AppData\Roaming\1v10drf3u5j
2017-07-17 23:17 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\AJ9IAPMRT0
2017-07-17 23:17 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\87QBJ4OWEK
2017-07-17 23:17 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\0IOBQTGOD5
2017-07-17 23:17 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\peaw2crnp24
2017-07-17 23:17 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\b2rzduqtrcy
2017-07-17 23:17 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\0iufhehhpbw
2017-07-17 23:16 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\OUESYV6MIM
2017-07-17 23:16 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\JIMJGUQXO6
2017-07-17 23:16 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\G069ASO0AU
2017-07-17 23:16 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\yyeta3kfvey
2017-07-17 23:16 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\iqvzedv52wd
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\Z1ALMSXO11
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\SOT5S97JO8
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\NCHTGYX4E2
2017-07-17 23:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\60L577R5FS
2017-07-17 23:07 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\xid5womtoc3
2017-07-17 23:07 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\oupsplat3mb
2017-07-17 23:07 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\kh3pbwiw5g0
2017-07-17 23:06 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\JVDPRBSZU9
2017-07-17 23:06 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\4HWJOBFTXX
2017-07-17 23:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\qicv24c5a1k
2017-07-17 23:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\pe1qaci3ik1
2017-07-17 23:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\imhwetc3cr0
2017-07-17 23:06 - 2017-07-17 23:06 - 00000000 ____D C:\Users\Администратор\AppData\Local\UCBrowser
2017-07-17 22:53 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\T5KNF1FKH4
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\VWWY3U0Q0E
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\SLGORFGTI7
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\N80TYX9K8L
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\L68Q1OEWQH
2017-07-17 22:52 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\4OD0Y9RWV2
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\z53meox0tab
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\yoyroflsh3h
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Администратор\AppData\Roaming\ujbpdtfl3wg
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\lnefpzgbhss
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5oxckclka1d
2017-07-17 22:52 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\4r5i1rx0b2w
2017-07-17 22:36 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\ZEELV9LDZH
2017-07-17 22:36 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\YMP0RZVX2V
2017-07-17 22:36 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\7XHKUWCK4R
2017-07-17 22:36 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\hy2tcw2o1zh
2017-07-17 22:36 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\enkch3zh3nj
2017-07-17 22:36 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\3xajay5n4sv
2017-07-17 22:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\LOUS6EQP9H
2017-07-17 22:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\HQPQW7H8B9
2017-07-17 22:23 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\BUOBEUV9JQ
2017-07-17 22:23 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\rdzlq2bh4hz
2017-07-17 22:23 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\i0lytpgdeue
2017-07-17 22:23 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\gjkfa2buiib
2017-07-17 22:09 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\5AO308CKQO
2017-07-17 22:09 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5sd3k3vwptl
2017-07-17 21:38 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\UXBFVW2ZTC
2017-07-17 21:38 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\mpp4ohd4o0x
2017-07-17 21:08 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\KI00M3LZ0Y
2017-07-17 21:08 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\cbnvy0arisj
2017-07-17 20:38 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\H0D7NA3V7M
2017-07-17 20:37 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\l21aijulouu
2017-07-17 20:07 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\9E1NOCIP02
2017-07-17 20:06 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\cj5wztuxrna
2017-07-17 19:37 - 2017-07-17 19:37 - 00000000 ____D C:\Users\Acer\AppData\Local\UCBrowser
2017-07-17 19:35 - 2017-07-10 09:25 - 02017280 ___SH (Micrasaft Carparation) C:\Windows\C_02iu57.dat
2017-07-17 19:34 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\J81N6PXI00
2017-07-17 19:34 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\5yx0cepgy23
2017-07-17 19:31 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\R932U7VR8D
2017-07-17 19:31 - 2017-07-18 00:59 - 00000000 ____D C:\Program Files\K9GCSD3J13
2017-07-17 19:31 - 2017-07-18 00:46 - 00000000 ____D C:\Program Files (x86)\vf25hbb1w45
2017-07-17 19:31 - 2017-07-18 00:41 - 00000000 ____D C:\Users\Acer\AppData\Roaming\sf10hybdsdu
Task: {888F4295-10EC-49B6-A815-6C887B3D0C71} - \Lingvoter for Acrobat Software -> No File <==== ATTENTION
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "5247C04YIW0YXJB"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "9DN05MLP0KZ1R1I"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "SKG3DK6F8JPTE0V"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "UQHP896B7VOINJD"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "V9EOR6FTBF6NZZB"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "9N97ZWEFPUCF31G"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "O76D3LNALMEQ6AD"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "RK8811HV6EMTY6L"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "A567I4WADGTF65N"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "NAMKGHRZ7K7Y906"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "6YZM0PPD8V6LM4K"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "JK10NX2PO8W7DEW"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "VD1P9V1ZN73CXNP"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "ATGUOFWB6XKRAVU"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "A6VUIH1MIHFUOZA"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "PGAAJSG7O2MCWBV"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "FNTZ2U4HWMCAHV8"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "YTLSNA3O7T7PMP2"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "RUIG6SMN72ZUGUF"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "AMCFD0YHGCDMDSC"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "TBOK38C4QAP34GA"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "P7UL4SWTWLRH76K"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "D60K1KKKR23I6VV"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "y1wvgmki3ez"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tqhp3mvciva"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "jst1tsasoml"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "z5xf1re0kz4"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "wymflhmoduk"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tnc1xar32si"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tug1p4d4bgx"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "lc0xdcu2izy"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "255rpgq11zt"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "4bkukj42gxy"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "ioomyjtje55"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "pk1xp250j41"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "r3mnaoyw4up"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "25xh44ep4xp"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "goxsip2xlxb"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "rmeoul3tvb0"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "iqoj44d0nzj"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "h4syenjae2j"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "so0cugkgftv"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "he2mf31kjp3"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "dyqgkstpuqm"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "tce2jhblyvw"
HKU\S-1-5-21-3496616228-2190198145-2270674736-1001\...\StartupApproved\Run: => "dobeiedm1tw"
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**Olle.shum** · 24.07.2017, 23:18

Проблема решена частично. Выскакивание "левых" страниц в браузере сократилось, но осталась навязчивая реклама вверху части страниц и еще Malwarebytes постоянно блокирует какой-то переход. Вместе с лог-файлом цепляю скрин на котором видно и рекламу и блокировку перехода. Спасибо.

**Vvvyg** · 25.07.2017, 06:56

Отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.

**Olle.shum** · 25.07.2017, 09:51

Я переустановил Chrome, т.к. заметил, что после очистки кэш и cookies-файлов, cookies не очищается. Пока выскакивание "левых" страниц прекратилось, но осталась баннерная реклама и AdwCleaner по прежнему находит PUP.Optional.mail.ru и PUP.optional.Legasy.
P.S. Через 5 минут работы в Chrome опять началось
Malwarebytes постоянно блокирует какие-то переходы.

**Vvvyg** · 25.07.2017, 19:25

Eстраните проблемы с синхронизацией Google.

**Olle.shum** · 27.07.2017, 15:25

Снова здравствуйте. Все сделал как сказано, наблюдал некоторое время. При всех выключенных расширениях Chrome реклама при открытии некоторых страниц остается. Malwarebytes блокирует попытки обращения к "левым" ресурсам типа trafmag.com.

**Vvvyg** · 27.07.2017, 23:23

Ссылки на trafmag.com и реклама на многих сайтах присутствует. Совсем это не задавить.

**Olle.shum** · 28.07.2017, 13:13

Хорошо, Спасибо!!!

**Vvvyg** · 28.07.2017, 20:26

Запустите AdwCleaner и нажмите Файл (File) -> Удалить (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**CyberHelper** · 28.07.2017, 20:36

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Заражение вирусами mail.ru и другими (заявка № 213938)

Опции темы