Открываются рекламные вкладки в Chrome

[Никита Копаница]

Неделю назад начали открываться рекламные вкладки в Chrome. Вдобавок к этому проводник дал запустить скрипты для логгирования только в безопасном режиме, при открытии папки AVZ проводник перезагружается. Прикрепляю логи из безопасного режима. Спасибо за помощь!

UPD: так же заметил подозрительную нагрузку на графический процессор.

[Info_bot]

Уважаемый(ая) Никита Копаница, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ExecuteFile('schtasks.exe', '/delete /TN "UninstallSMB1ClientTask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "UninstallSMB1ServerTask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{0A3B14D2-5E90-8AB6-6D17-6FC0AD9910FC}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{52D71959-2F6C-0FFA-B248-0D1F5A498DB9}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{D5EB7536-9CBD-DEA2-7B17-B23B15D0E6C7}" /F', 0, 15000, true);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Никита Копаница]

Доброго времени суток! Всё сделал в безопасном режиме, в обычном не пробовал. Если это, конечно, имеет какое-то значение.

[thyrex]

Переделывайте в обычном режиме

[Никита Копаница]

К сожалению, не могу запустить avz.exe в обычном режиме даже через PowerShell с правами администратора, программа моментально закрывается. Через проводник всё как прежде - при попытке открыть папку AVZ, проводник перезапускается.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Никита Копаница]

С этой программой происходит то же самое, что и с AVZ. После проверки UAC окно появляется на долю секунды и сразу закрывается.

[thyrex]

В безопасном режиме выполняйте.

[Никита Копаница]

Логи FRST из безопасного режима

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2018-08-12 19:39 - 2018-08-12 19:39 - 000000000 _____ () C:\Users\Nikita\AppData\Local\Temp\00e481b5e22dbe1f649fcddd505d3eb7.dll
2018-08-12 19:39 - 2018-08-12 19:39 - 000000017 _____ () C:\Users\Nikita\AppData\Local\Temp\8a5b8665ef6fe4eac79a4b34871e77c7.dll
2018-04-12 02:34 - 2018-04-12 02:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\oaCPIXx.exe
2018-08-13 02:38 - 2018-08-13 02:38 - 000000002 _____ () C:\Users\Nikita\AppData\Local\imw.ini
HKU\S-1-5-19\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
HKU\S-1-5-20\...\RunOnce: [WAB Migrate] => C:\Program Files\Windows Mail\wab.exe [518144 2018-04-12] (Microsoft Corporation)
FirewallRules: [{8AEB616A-750B-43D7-9D41-4BCFE6477373}] => (Allow) C:\WINDOWS\XyQujZzyeG.exe
FirewallRules: [{1FBD506F-71B4-48AB-8BEC-61E852D9A420}] => (Allow) C:\Program Files (x86)\Common Files\oaCPIXx.exe
C:\WINDOWS\XyQujZzyeG.exe
FirewallRules: [TCP Query User{583D57DD-E593-42BC-8338-95CC3B6EBDD1}C:\users\nikita\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\nikita\appdata\roaming\acestream\engine\ace_engine.exe
FirewallRules: [UDP Query User{7DF3538C-E34C-4613-B50F-563B08132F39}C:\users\nikita\appdata\roaming\acestream\engine\ace_engine.exe] => (Allow) C:\users\nikita\appdata\roaming\acestream\engine\ace_engine.exe
HKU\S-1-5-21-3300772725-3121271100-2593391999-1001\...\StartupApproved\Run: => "AceStream"
Task: {9A03FF48-861D-44C8-B4A1-9C96BCC58E17} - System32\Tasks\{0A3B14D2-5E90-8AB6-6D17-6FC0AD9910FC} => C:\WINDOWS\XyQujZzyeG.exe [2018-04-12] (Microsoft Corporation)
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Никита Копаница]

Сделано

- - - - -Добавлено - - - - -

Вкладки с рекламой по-прежнему открываются. Но теперь пропала лишняя загрузка видеокарты, а так же запускается AVZ и остальные программы в обычном режиме. Сделал свежий лог через AutoLogger.

[thyrex]

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему

[Никита Копаница]

Пользуюсь только хромом, выключил все расширения, пока проблем не наблюдаю. Спасибо за помощь!

[thyrex]

Теперь по одному включайте и найдете виновника. Его имя нам сообщите.

[Никита Копаница]

Действие на клик прописывал скрипт в Tampermonkey, который назвали с иронией - adblock. Больше проблем нет, спасибо большое за помощь!
P. S.: ссылки на домены "доброжелателя" видны в коде скрипта.


ablno.jpg