Windows 7, тормоза, реклама, криптомайнер

[ibodl]

Windows 7, тормоза, реклама, криптомайнер

Добрый вечер, с Новым годом всех)
Подтормаживает(проявляется в медленном открытии программ, да даже проводник медленно открывает) + периодически открывается сайт https://www.aviasales.ru/?marker=12324.49001-b7b301cf585a1f584f4636fe07efcb30, открывается он в отдельном окне, которое прячется в углу за часами. Когда он открыт, то повышается использование ЦП.
Операционная система Microsoft Windows 7 Professional
Тип ЦП OctalCore AMD FX-8120, 4027 MHz (20 x 201)
Системная плата Gigabyte GA-970A-UD3 (2 PCI, 3 PCI-E x1, 2 PCI-E x16, 4 DDR3 DIMM, Audio, Gigabit LAN, IEEE-1394)
Видеоадаптер AMD Radeon HD 7800 Series (2 ГБ)
Системная память 16365 МБ (DDR3-1333 DDR3 SDRAM)
Дисковый накопитель TOSHIBA DT01ACA100 ATA Device (1000 ГБ, 7200 RPM, SATA-III)
Антивирус 360 total security 9.2.0.1256

Лог Увс прикрепляю

 

[Гризлик]

В UVS выполните скрипт. Затем выполните сканирование Malwarebytes

 

[ibodl]

Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 04.01.18
Время проверки: 11:06
Файл журнала: 3aa72138-f126-11e7-9dcb-00ff6ccae85b.json
Администратор: Да

-Информация о ПО-
Версия: 3.3.1.2183
Версия компонентов: 1.0.262
Версия пакета обновления: 1.0.3618
Лицензия: Бесплатная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: \u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd-DNS\\u00d0\u0090\u00d0\u00b4\u00d0\u00bc\u00d0\u00b8\u00d0\u00bd

-Отчет о проверке-
Тип проверки: Полная проверка
Результат: Завершено
Проверено объектов: 351011
Обнаружено угроз: 18
Помещено в карантин: 0
(Вредоносные программы не обнаружены)
Затраченное время: 45 мин, 49 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Обнаружение
PUM: Обнаружение

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 4
PUP.Optional.AuslogicsBoostSpeed, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{014FDBC8-C57D-4316-9CEF-7A847EB33669}, Проигнорировано пользователем, [1620], [383082],1.0.3618
PUP.Optional.GoSearch, HKU\S-1-5-21-2947376622-1466448851-1351545629-1000\SOFTWARE\MICROSOFT\GOSEARCHQ, Проигнорировано пользователем, [807], [456688],1.0.3618
PUP.Optional.VideoPlayer, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\DCDMABLGPDLCCPPJDEAFAEHKJOEGGHBD, Проигнорировано пользователем, [11377], [244475],1.0.3618
PUP.Optional.AuslogicsBoostSpeed, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AUSLOGICS\BOOSTSPEED, Проигнорировано пользователем, [1620], [383076],1.0.3618

Значение реестра: 4
PUP.Optional.AuslogicsBoostSpeed, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{014FDBC8-C57D-4316-9CEF-7A847EB33669}|PATH, Проигнорировано пользователем, [1620], [383082],1.0.3618
PUP.Optional.VideoPlayer, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\DCDMABLGPDLCCPPJDEAFAEHKJOEGGHBD|PATH, Проигнорировано пользователем, [11377], [244475],1.0.3618
Hijack.Regedit, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|DISABLEREGEDIT, Проигнорировано пользователем, [12152], [211464],1.0.3618
Hijack.Regedit, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|DISABLEREGEDIT, Проигнорировано пользователем, [12152], [211464],1.0.3618

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 1
PUP.Optional.AuslogicsBoostSpeed, C:\WINDOWS\SYSTEM32\TASKS\AUSLOGICS\BOOSTSPEED, Проигнорировано пользователем, [1620], [341836],1.0.3618

Файл: 9
PUP.Optional.MailRu, C:\USERS\Админ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\SEARCHPLUGINS\mailru.xml, Проигнорировано пользователем, [635], [384856],1.0.3618
RiskWare.Tool.CK, C:\PROGRAMDATA\COMODO\CIS\QUARANTINE\DATA\{0CE46D1E-1D2D-4C41-B4DF-05140144D014}, Проигнорировано пользователем, [234], [30585],1.0.3618
Trojan.CryptoWall, C:\PROGRAMDATA\COMODO\CIS\QUARANTINE\DATA\{2309AFC9-FB9F-4919-BD5D-65A24D6980E6}, Проигнорировано пользователем, [1752], [77611],1.0.3618
Generic.Malware/Suspicious, C:\PROGRAMDATA\COMODO\CIS\QUARANTINE\DATA\{422B0218-A727-42BF-8C32-45A908DCAE91}, Проигнорировано пользователем, [0], [392686],1.0.3618
Trojan.CryptoWall, C:\PROGRAMDATA\COMODO\CIS\QUARANTINE\DATA\{A15D9F7A-D387-4828-9629-F8AC8A798B22}, Проигнорировано пользователем, [1752], [77611],1.0.3618
RiskWare.GameHack, C:\PROGRAM FILES (X86)\BADLAND GAME OF THE YEAR EDITION\STEAM_API.DLL, Проигнорировано пользователем, [425], [305544],1.0.3618
MachineLearning/Anomalous.100%, C:\PROGRAM FILES (X86)\WORLD OF GOO\WORLDOFGOO.EXE, Проигнорировано пользователем, [0], [392687],1.0.3618
RiskWare.CHP, C:\USERS\Админ\APPDATA\LOCAL\BEELINE NETWORK MANAGER\UPDATER\CHP.EXE, Проигнорировано пользователем, [14256], [278738],1.0.3618
PUP.Optional.MailRu, C:\USERS\Админ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, [635], [454830],1.0.3618

Физический сектор: 0
(Вредоносные программы не обнаружены)


(end)

 

[Гризлик]

Это

PUP.Optional.AuslogicsBoostSpeed, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{014FDB C8-C57D-4316-9CEF-7A847EB33669}, Проигнорировано пользователем, [1620], [383082],1.0.3618
PUP.Optional.AuslogicsBoostSpeed, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AUSLOGIC S\BOOSTSPEED, Проигнорировано пользователем, [1620], [383076],1.0.3618
PUP.Optional.AuslogicsBoostSpeed, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{014FDB C8-C57D-4316-9CEF-7A847EB33669}|PATH, Проигнорировано пользователем, [1620], [383082],1.0.3618
PUP.Optional.AuslogicsBoostSpeed, C:\WINDOWS\SYSTEM32\TASKS\AUSLOGICS\BOOSTSPEED, Проигнорировано пользователем, [1620], [341836],1.0.3618
RiskWare.GameHack, C:\PROGRAM FILES (X86)\BADLAND GAME OF THE YEAR EDITION\STEAM_API.DLL, Проигнорировано пользователем, [425], [305544],1.0.3618
MachineLearning/Anomalous.100%, C:\PROGRAM FILES (X86)\WORLD OF GOO\WORLDOFGOO.EXE, Проигнорировано пользователем, [0], [392687],1.0.3618
RiskWare.CHP, C:\USERS\Админ\APPDATA\LOCAL\BEELINE NETWORK MANAGER\UPDATER\CHP.EXE, Проигнорировано пользователем, [14256], [278738],1.0.3618

можете оставить, а остальное все удалить.

Далее:
.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

 

[ibodl]

Сделал. Адв почистил, вот логи

 

[Гризлик]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! И проверьте проблему

GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2947376622-1466448851-1351545629-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR Extension: (Google Search) - C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-06]
CHR Extension: (Chrome Media Router) - C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-12-16]
CHR HKU\S-1-5-21-2947376622-1466448851-1351545629-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2947376622-1466448851-1351545629-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hcjjaajflhellmcfcecojihhmdbjmmlm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nidmnchoekibbojpkbcojafkodobelld] - C:\Program Files (x86)\Crx\Files\nidmnchoekibbojpkbcojafkodobelld_0.2.6.crx [2013-11-17]
OPR Extension: (Вконтакте Музыка Скачать 2015) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\fjkfodkgajmiepbcffmlbikbfimnncee [2015-08-29]
Task: {136B9311-AB09-4C02-AA13-ED7B6F478736} - \{EADDA552-CA30-46A0-9767-D94B912262D3} -> No File <==== ATTENTION
Task: {4C2C9598-4123-43E8-AD57-F43347C9A4E5} - \Opera scheduled Autoupdate 1388386456 -> No File <==== ATTENTION
Task: {B0CAB3BB-943F-494B-A1DA-F9B25E069AEA} - \{0304B279-19F4-427B-BE5D-A78A7BF0B897} -> No File <==== ATTENTION
Task: {E9F21E40-0DE0-4F8D-A3E6-800C00AA250D} - \{60C0EB78-94F1-458C-8045-E83414DA2DC0} -> No File <==== ATTENTION
EmptyTemp:
Reboot:

 

[ibodl]

Фикслог прикрепил, тормозов стало явно меньше, на счет сайта сейчас не могу сказать, потому что открывается он рандомно по времени. Буду наблюдать.
Пока что большое спасибо:apl:

 

[Гризлик]

Хорошо. Больше пока ничего плохого в логах не видно