Вирусы и всплывающая реклама

[natulek-p]

Вирусы и всплывающая реклама

Добрый день! Беспокоит подвисание компьютера и всплывающие окна в браузере. Помогите, пожалуйста, решить проблему.Посмотреть вложение DNS-DNS_2016-09-04_10-49-26.7z

Посмотреть вложение virusinfo_syscheck.zip

 

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\SYSTEMMONITOR2016\2953381729.EXE
delall %SystemDrive%\USERS\DNS\APPDATA\LOCAL\HOSTINSTALLER\2953381729_MONSTER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\QOLUSE\QOLUSECLN.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKMPJNMNHJKPKACDHKLIIPNNCOBGKHK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFBKDLIBJHNBLCBJJECNLPKLDHBKEDFHJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMAFPBCLKDIEJMPJNMIOIHCAFDNLBMKCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNKOOAPPJEONIFFJMOPLBAGPNGEDKCKPL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPALMGGEFDFEIKONGHAEONGKABMGCAGCO%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\BADU\UC.EXE
del %SystemDrive%\PROGRAM FILES (X86)\BADU\UC.EXE

delref %SystemDrive%\USERS\DNS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AHKMPJNMNHJKPKACDHKLIIPNNCOBGKHK\9.0.1_1\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\DNS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\DNS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\DNS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AHKMPJNMNHJKPKACDHKLIIPNNCOBGKHK\9.0.1_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\DNS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\DNS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\DNS\APPDATA\ROAMING\IMAGECROPRESIZE\IMAGEED\IMAGEED.EXE
del %SystemDrive%\USERS\DNS\APPDATA\ROAMING\IMAGECROPRESIZE\IMAGEED\IMAGEED.EXE

delref %SystemDrive%\USERS\DNS\APPDATA\LOCAL\HTTPFILTER\LAUNCHALL.JS
del %SystemDrive%\USERS\DNS\APPDATA\LOCAL\HTTPFILTER\LAUNCHALL.JS

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

 

[natulek-p]

Выполнила скрипт в uVS, чисто визуальных проблем не обнаружено.
Быструю проверку выполнить не могу, т.к. программа ранее установлена на компьютер в пробной версии. Сделала полную Посмотреть вложение Malwarebytes Free.txt

 

[natulek-p]

Подскажите, пожалуйста, а что это такое в Гугле Блокирует все окна, ни открыть, ни закрыть

 

[Vvvyg]

Удалите в MBAM (переместите в карантин) всё, кроме:

RiskWare.GameHack, C:\Program Files (x86)\Call Of Duty.Ghosts.v 1.0.642115\steam_api.dll, , [1510d29cebaf0135ffd95d4ac73d3fc1], 
RiskWare.GameHack, C:\Program Files (x86)\Call Of Duty.Ghosts.v 1.0.642115\steam_api64.dll, , [32f390deb2e88bab38a03a6d8381a759],

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

 

[natulek-p]

Сделала, Посмотреть вложение Addition.txt

Посмотреть вложение FRST.txt

 

[Гризлик]

Скопируйте код ниже в Блокнот

CHR Extension: () - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\ahkmpjnmnhjkpkacdhkliipnncobgkhk [2016-09-04]
CHR Extension: () - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgcifljfapbhgiehkjlckfjmgeojijcb [2016-09-04]
CHR Extension: (Everysale.Net) - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\mafpbclkdiejmpjnmioihcafdnlbmkco [2016-07-29]
CHR Extension: (Pushcontrol) - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\mlimcdoaokfndjofnhhlhbnhkjjfkpob [2016-05-06]
CHR Extension: (PushControl) - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\neffjgcockmfmkfjoffiomkjjehnjfab [2016-04-26]
CHR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\nkooappjeoniffjmoplbagpngedkckpl [2016-07-29]
CHR Extension: () - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojlcebdkbpjdpiligkdbbkdkfjmchbfd [2016-09-04]
CHR Extension: (Neiron Search Tools) - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\palmggefdfeikonghaeongkabmgcagco [2016-07-29]
CHR Extension: (FreeTour) - C:\Users\DNS\AppData\Local\Google\Chrome\User Data\Default\Extensions\popaapfjmaabbneljbdejbdjliohmkch [2016-07-30]
Task: {2628717B-D7A6-43E4-B14D-CED47D7E1934} - \ipro2 -> No File <==== ATTENTION
Task: {4E1BA98E-C9E8-4642-81D3-5B37ECBE2B4E} - System32\Tasks\{BCF9EEE4-E853-46BD-B326-B88294141DF7} => Chrome.exe 
Task: {780945F5-961A-452F-93F8-8B6691935E65} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {93F5393C-8029-43C7-906E-3F39DE4B7733} - System32\Tasks\{4550AEB4-14A0-49B7-81DE-08D4EFD7FC3F} => Chrome.exe 
Task: {A035A26D-EFB7-4B5E-B8B6-896301789BB9} - \Soft installer -> No File <==== ATTENTION
EmptyTemp:
Reboot:

Сохраните его как файл fixlist.txt в папку с программой Farbar Recovery Scan Tool. Запустите Farbar Recovery Scan Tool и нажмите Fix.
После чего откроется файл лога fixlog.txt выложите его сюда

 

[natulek-p]

Сделала Посмотреть вложение Fixlog.txt

 

[natulek-p]

Опять появляются всплывающие окна в гугле типа "Вулкан казино"

 

[natulek-p]

И постоянно выскакивает вот такое окно . Можно его, пожалуйста, его убрать

 

[Гризлик]

Опять появляются всплывающие окна в гугле типа "Вулкан казино"

В Internet Explorer такое тоже наблюдается или искключительно в хроме?

И постоянно выскакивает вот такое окно

Удалите или переустановите NVIDIA GeForce Experience

 

[Vvvyg]

Примените в FRST такой fixlist.txt:

CreateRestorePoint:
() C:\Users\DNS\AppData\Local\HttpFilter\nssm.exe
HKLM-x32\...\Run: [InstallUpdate] => 0
FF Extension: (No Name) - C:\Users\DNS\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\Extensions\homepage@mail.ru [2016-07-29] [not signed]
CHR HomePage: Profile 1 -> mail.ru/cnt/20595300?rciguc__PARAM__
2016-08-27 14:25 - 2016-08-27 14:25 - 00000000 __SHD C:\ProgramData\360Quarant
2016-08-27 14:25 - 2016-08-27 14:25 - 00000000 __SHD C:\$360Section
2016-08-30 07:51 - 2016-02-28 15:09 - 00000000 ____D C:\Program Files (x86)\360
(The Privoxy team - www.privoxy.org) C:\Users\DNS\AppData\Local\HttpFilter\dofilter.exe
R2 dofilter; C:\Users\DNS\AppData\Local\HttpFilter\nssm.exe [294912 2014-08-31] () [File not signed]
2016-09-04 14:55 - 2016-05-18 12:41 - 00000000 ____D C:\Users\DNS\AppData\Local\HttpFilter
C:\Users\DNS\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [{02D59304-0951-4EB1-B9C7-58B0A41685E9}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
FirewallRules: [{4BD020FD-E82C-4D14-9832-51AF552BCC6E}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHSafeTray.exe
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
Hosts:
EmptyTemp:
Reboot:

После перезагрузки приложите новый Fixlog.txt и сообщите, что с проблемой.

 

[natulek-p]

сделала Посмотреть вложение Fixlog.txt

 

[natulek-p]

Спасибо большое. Вроде все нормализовалось, ничего не выскакивает и не тормозит

 

[natulek-p]

В Internet Explorer такое тоже наблюдается или искключительно в хроме?

Удалите или переустановите NVIDIA GeForce Experience

Internet Explorer не пользуюсь, вчера пришлось, т.к. заблокирован был гугл. Пока пользовалась Explorer ничего подобного не было, все только в гугл.