Загрузка ЦП на 100% При открытии браузера, открывается спам

[Владимир 1978]

Здравствуйте. Два дня назад, ЦП компьютера загрузился на 100% и постоянно загружен. А так же при открытии браузера Opera, открываются две странички с рекламой, блогами и прочим мусором. Так же пробовал зайти в инет с Google Chrom, эффект тот же самый.
Пожалуйста, помогите разобраться с проблемой.

[Info_bot]

Уважаемый(ая) Владимир 1978, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{691EBFB2-AF91-4C32-91F6-17C609DBBCFB}: [NameServer] = 46.101.28.31
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avg - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: TortoiseOverlay - {CBF88FC2-F150-4F29-BC80-CE30EFD1B62C} - C:\Program Files\Subversion\TortoiseSVN Overlay.dll
O22 - Task: Scheduler Update S-1-8-22 - C:\Windows\explorer.exe http://altakho.ru

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files\Subversion\TortoiseSVN Overlay.dll', '');
 QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
 DeleteFile('C:\Program Files\Subversion\TortoiseSVN Overlay.dll');
 DeleteFile('C:\Users\777\AppData\Local\yc\Application\yc.exe', '32');
 DeleteFile('C:\Users\777\Favorites\Links\Интернет.url');
 DeleteFile('C:\Windows\microsoft\svchost.exe', '32');
 DeleteFile('C:\Windows\System32\drivers\mracdrv.sys', '32');
 DeleteFile('C:\Windows\System32\mracsvc.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "Scheduler Update S-1-8-22" /F', 0, 15000, true);
 DeleteService('mracdrv');
 DeleteService('mracsvc');
 DeleteFileMask('C:\Program Files\Subversion', '*', true);
 DeleteFileMask('c:\users\777\appdata\local\yc', '*', true);
 DeleteDirectory('C:\Program Files\Subversion');
 DeleteDirectory('c:\users\777\appdata\local\yc');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nrbjnamztn', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_115FDDC30F8C79E4C97481F62753509D', 'command');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Владимир 1978]

Сделал всё, как вы сказали. Процессор разгрузился, спам в опере, который при запуска браузера постоянно выскакивал, исчез.
Всё работает нормально, но после включении компьютера при первом запуске браузера(именно OPERA) открывается вот эта страница: http://uraltrack.net
Я закрываю её и до следующего перезапуска компьютера она не открывается и так постоянно. Остальной весь спам исчез. В гугл хром всё работает нормально.
Логи FRST прилагаю, и карантин выслал.

[Vvvyg]

Удалите программу Appset Updater 1.1.306.0.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ShortcutTarget: Rainmeter.lnk -> C:\Program Files\Rainmeter\Rainmeter.exe (No File)
ShortcutTarget: Rainmeter.lnk -> C:\Program Files\Rainmeter\Rainmeter.exe (No File)
URLSearchHook: HKU\S-1-5-21-1026124126-472033609-3319805661-1001 - (No Name) - {1a894269-562d-459e-b17e-efd8de428e41} - No File
R1 netfilter2; C:\Windows\system32\drivers\9LtST5PWcEDu.sys [55080 2018-03-11] (Windows (R) Win 7 DDK provider) [File not signed]
2018-03-11 21:11 - 2018-03-11 21:11 - 000055080 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\9LtST5PWcEDu.sys
S3 ThettaTrust; \??\C:\Users\777\AppData\Local\Temp\GameNet.Eu2472 [X] <==== ATTENTION
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WinRing0_1_2_0; \??\C:\Users\777\AppData\Local\Kryptex\app-2.1.4\Kryptex.sys [X]
2018-02-12 20:48 - 2018-02-06 00:30 - 008640624 _____ (LLC Mail.Ru) C:\Windows\system32\mracsvc.exe
2018-02-12 20:48 - 2017-12-20 21:37 - 007868448 _____ (LLC Mail.Ru) C:\Windows\system32\Drivers\mracdrv.sys
2018-03-02 14:23 - 2018-03-02 14:26 - 001881088 ____H () C:\Users\777\AppData\Roaming\base.db
Task: {26BDE67F-8810-4BE5-B11A-9D1976627D31} - \777 -> No File <==== ATTENTION
Task: {586669BF-FA31-48B1-95CB-4A86E4C354C7} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe
AlternateDataStreams: C:\ProgramData\Temp:41ADDB8A [136]
AlternateDataStreams: C:\ProgramData\Temp:A064CECC [139]
MSCONFIG\startupreg: nrbjnamztn => explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=6D84B5F36182AF538707A8A9CFF1013C&utm_d=20180311"
MSCONFIG\startupreg: Opera Browser Assistant => C:\Program Files\Opera\suite\browser_assistant.exe
MSCONFIG\startupreg: ycAutoLaunch_115FDDC30F8C79E4C97481F62753509D => 
StandardProfile\AuthorizedApplications: [Updater Service] => C:\windows\system32\drivers\safesurf.exe
StandardProfile\AuthorizedApplications: [] => C:\\windows\\system32\\drivers\\safesurf.exe:*:Enabled:Updater Service
StandardProfile\AuthorizedApplications: [C:\Windows\system32\drivers\safesurf.exe] => Enabled:Updater Service Tools
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Владимир 1978]

Всё сделал, прикрепил.

[Vvvyg]

Что с проблемой?

[Владимир 1978]

Проблема со страницей в опере осталась.

[Vvvyg]

Пофиксите в HijackThis:

Код:

O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Ural.url    ->    http://uraltrack.net/

[Владимир 1978]

Спасибо вам огромное. С вашей помощью наконец-то избавился от этой ссылки. Дай бог вам здоровья и удачи! Ещё раз спасибо!!!

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены