При загрузке ПК открывается Chrome с рекламными сайтами

@BaZzuZzu · Регистрация: 06.07.2016

Author24 — интернет-сервис помощи студентам

Доброго дня.
При загрузке ПК открывается Chrome с рекламными сайтами. Плюс наставилась куча Mail хлама, естетсвенно поменялись поисковики во всех браузерах.
Пытался чистить Malwarebytes, удалил Reg Organizer кучу левых программ которые установились сегодня проверял "Чистилкой"
и Adwcleaner в Безопасном режиме все программы нашли мусор и ошибки, все удалил, но проблема осталась.
Помогите пролечить пожалуйста.

@Sandor · 06.07.2016, 15:20

Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@BaZzuZzu · 06.07.2016, 15:31 **[ТС]**

Прикрепил

@Sandor · 06.07.2016, 15:41

Внимание! Рекомендации написаны специально для пользователя BaZzuZzu. Если рекомендации написаны не для вас, не используйте их -
это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: No Name -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
FF NewTab: 
2016-07-06 14:58 - 2016-07-06 14:58 - 00000001 _RHOT C:\Users\SaT\AppData\Local\Hostinstaller
2016-07-06 14:55 - 2016-07-06 14:55 - 00000000 ____D C:\Users\SaT\AppData\Roaming\ProductData
2016-07-06 14:54 - 2016-07-06 14:54 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2016-07-06 14:54 - 2016-07-06 14:54 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-07-06 14:54 - 2016-07-06 14:54 - 00000000 ____D C:\Users\SaT\AppData\Roaming\Apple Computer
2016-07-06 14:54 - 2016-07-06 14:54 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-07-06 14:53 - 2016-07-06 14:53 - 00000000 ____D C:\Users\Все пользователи\RenewalService
2016-07-06 14:53 - 2016-07-06 14:53 - 00000000 ____D C:\ProgramData\RenewalService
Task: {167A5129-C074-463C-B307-1E1B43235F32} - System32\Tasks\Driver Booster SkipUAC (SaT) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {FD3B392A-0CD1-47CB-829F-890DEB757894} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\SaT\AppData\Roaming\Adobe\Manager.exe
FirewallRules: [{1E750718-B783-437F-848E-D232D384935C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{23357899-0A61-4B03-B46F-4F5B12BCF658}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
FirewallRules: [{FFE8812B-1E89-49A2-B4C8-B4298533374E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{7A390A50-F294-46BE-8666-0BCC698F9553}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe
FirewallRules: [{A9DBA397-5CF4-4041-A177-9223963A7ADC}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
FirewallRules: [{0625086D-9EC5-4881-88E4-6567D24EDF84}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\AutoUpdate.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@BaZzuZzu · 06.07.2016, 15:49 **[ТС]**

Проблема осталась

@Sandor · 06.07.2016, 15:59

Подготовьте и прикрепите лог сканирования AdwCleaner.

@BaZzuZzu · 06.07.2016, 16:04 **[ТС]**

Не подскажите с какими настройками запускать, а то я пока чистил сам все галки включал, теперь на новой так же

@Sandor · 06.07.2016, 16:10

Вы спрашиваете "как очистить", а я прошу только сканировать и показать лог.

@BaZzuZzu · 06.07.2016, 16:19 **[ТС]**

Спасибо понял

@Sandor · 06.07.2016, 16:27

Файл C:\AdwCleaner\AdwCleaner[C1].txt - покажите.

Подготовьте лог сканирования MBAM.

@BaZzuZzu · 07.07.2016, 11:48 **[ТС]**

Проверку Malvare делал через "Безопасник" т.к. комп начал зависать в рандомные моменты может раз в час может через 5 минут, в безопасном все норм сутки стоял с проверкой.

@Sandor · 07.07.2016, 12:04

В MBAM ничего удалять не нужно (разве что на Ваше усмотрение - кряки и т.п.)

Удалите старые и сделайте свежие логи FRST.

@BaZzuZzu · 07.07.2016, 12:17 **[ТС]**

Отчёты Frst в обычном режиме

@Sandor · 07.07.2016, 12:46

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 TerminateProcessByName('C:\Program Files (x86)\WMIprovider\WMI Providers.exe');
 QuarantineFile('C:\Program Files (x86)\WMIprovider\WMI Providers.exe','');
 QuarantineFileF('C:\Program Files (x86)\WMIprovider', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files (x86)\WMIprovider\WMI Providers.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WMIproviders');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@BaZzuZzu · 08.07.2016, 18:11 **[ТС]**

Вроде больше не открываются левые сайты

@Sandor · 09.07.2016, 17:59

Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!):

Код

O2-64 - BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)
O4 - HKCU\..\Run: [WMIproviders] C:\Program Files (x86)\WMIprovider\WMI Providers.exe
O18 - Protocol: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - (no file)
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)

И еще раз, пожалуйста, подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

@BaZzuZzu · 14.07.2016, 14:06 **[ТС]**

Сообщение от Sandor

Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!):
Code
O2-64 - BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)
O4 - HKCU\..\Run: [WMIproviders] C:\Program Files (x86)\WMIprovider\WMI Providers.exe
O18 - Protocol: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - (no file)
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
И еще раз, пожалуйста, подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Этих строчек не было
O2-64 - BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)
O4 - HKCU\..\Run: [WMIproviders] C:\Program Files (x86)\WMIprovider\WMI Providers.exe

@Sandor · 14.07.2016, 14:13

Если проблем больше нет, завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	06.07.2016, 15:20	2
	Здравствуйте! Дополнительно: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	06.07.2016, 15:59	6
	Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@BaZzuZzu 0 / 0 / 0 Регистрация: 06.07.2016 Сообщений: 9
	06.07.2016, 16:04 [ТС]	7
	Не подскажите с какими настройками запускать, а то я пока чистил сам все галки включал, теперь на новой так же 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	06.07.2016, 16:10	8
	Вы спрашиваете "как очистить", а я прошу только сканировать и показать лог. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	06.07.2016, 16:27	10
	Файл C:\AdwCleaner\AdwCleaner[C1].txt - покажите. Подготовьте лог сканирования MBAM. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.07.2016, 12:04	12
	В MBAM ничего удалять не нужно (разве что на Ваше усмотрение - кряки и т.п.) Удалите старые и сделайте свежие логи FRST. 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	07.07.2016, 12:46	14
	Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Program Files (x86)\WMIprovider\WMI Providers.exe'); QuarantineFile('C:\Program Files (x86)\WMIprovider\WMI Providers.exe',''); QuarantineFileF('C:\Program Files (x86)\WMIprovider', '.exe, .dll, .sys, .bat, .vbs, .js, .tmp', true, '', 0, 0); DeleteFile('C:\Program Files (x86)\WMIprovider\WMI Providers.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WMIproviders'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip* из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". 0

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	09.07.2016, 17:59	16
	Пофиксите в HijackThis следующие строчки (утилиту запускать правой кнопкой от имени Администратора!): Код O2-64 - BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file) O4 - HKCU\..\Run: [WMIproviders] C:\Program Files (x86)\WMIprovider\WMI Providers.exe O18 - Protocol: mso-minsb.16 - {3459B272-CC19-4448-86C9-DDC3B4B2FAD3} - (no file) O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file) И еще раз, пожалуйста, подготовьте новый CollectionLog. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 1

@Sandor 21564 / 15514 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	14.07.2016, 14:13	18
	Если проблем больше нет, завершаем: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0