Баннер с рекламой слева и вылетание при заходе в любую папку на диске

@Ppotap · Регистрация: 23.04.2015

Author24 — интернет-сервис помощи студентам

Добрый день. В браузере Интернет эксплорер слева появляется баннер с рекламой при открытии любого сайта. Кроме того при входе на любую папку на диске аварийно завершается окружение и происходит перезапуск. В общем сидит какая-то дрянь.
Стоит касперский Интернет секьюрити 2015 актуальный, сканировал CureIt и adwcleaner. Читал похожие ветки. Ничего не помогло. ВОт создал свой вопрос. Пожалуйста помогите.

@Sandor · 23.04.2015, 13:20

Здравствуйте!

Еще добавьте логи по правилам:
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Ppotap · 23.04.2015, 13:41 **[ТС]**

Прикладываю логи.

@Sandor · 23.04.2015, 13:56

Внимание! Рекомендации написаны специально для пользователя Ppotap. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Time tasks

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\ПК\AppData\Roaming\istartsurf\UninstallManager.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','');
 QuarantineFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.resworb.bat', '');
 QuarantineFile('c:\programdata\SetWallpaper.cmd', '');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Users\ПК\AppData\Roaming\istartsurf\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{E8C5AD57-352F-4C3C-94E3-DF683E1B3508}','64');
 DeleteFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
 DeleteFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.resworb.bat', '32');
 DeleteFile('c:\programdata\SetWallpaper.cmd', '32');
 DeleteService('BAPIDRV');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Setwallpaper','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Ppotap · 23.04.2015, 14:25 **[ТС]**

прикрепляю лог

@Ppotap · 23.04.2015, 14:28 **[ТС]**

# AdwCleaner v4.201 - Отчёт создан 23/04/2015 в 16:25:45
# Обновлено 08/04/2015 by Xplode
# База данных : 2015-04-22.1 [Сервер]
# Операционная система : Windows 7 Home Basic Service Pack 1 (x64)
# Пользователь : ПК - ПК-ПК
# Запущено из : C:\Users\ПК\Desktop\adwcleaner_4.201.exe
# Режим : Сканировать

***** [ Службы ] *****

***** [ Файлы / Папки ] *****

***** [ Назначенные задания ] *****

***** [ Ярлыки ] *****

***** [ Реестр ] *****

***** [ веб браузеры ] *****

-\\ Internet Explorer v11.0.9600.17728

-\\ Mozilla Firefox v36.0.1 (x86 ru)

-\\ Google Chrome v

-\\ Chromium v

-\\ Comodo Dragon v

*************************

AdwCleaner[R0].txt - [8864 байт] - [23/04/2015 13:59:19]
AdwCleaner[R1].txt - [938 байт] - [23/04/2015 14:17:12]
AdwCleaner[R2].txt - [803 байт] - [23/04/2015 16:25:45]
AdwCleaner[S0].txt - [7641 байт] - [23/04/2015 14:00:43]
AdwCleaner[S1].txt - [992 байт] - [23/04/2015 14:19:55]

########## EOF - C:\AdwCleaner\AdwCleaner[R2].txt - [975 байт] ##########

@Sandor · 23.04.2015, 14:33

Сообщение от Ppotap

AdwCleaner[S0].txt - [7641 байт] - [23/04/2015 14:00:43]

Этот лог еще покажите.

+
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Добавлено через 1 минуту

Сообщение от Sandor

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению

А Вы приложили не тот.

@Ppotap · 24.04.2015, 06:51 **[ТС]**

Прикладываю логи. Баннер пока остался. И ситуация после выполнения скрипта такая же.

@Sandor · 24.04.2015, 08:37

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Dragokas · 24.04.2015, 14:33

Здравствуйте, Ppotap !

Пожалуйста, выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Internet Explorer.website','');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы.

@Ppotap · 24.04.2015, 23:05 **[ТС]**

Прикладываю файлы

@Ppotap · 24.04.2015, 23:07 **[ТС]**

файлы

@severnyj · 25.04.2015, 10:08

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
SearchScopes: HKLM-x32 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1050476044-3377681542-2516646812-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallExplorer64.dll No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
FF Extension: No Name -  C:\Users\РџРљ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\yasearch@yandex.ru [Not Found]
FF Extension: No Name -  C:\Users\РџРљ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\vb@yandex.ru [Not Found]
FF Extension: No Name -  C:\Users\ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [Not Found]
FF Extension: No Name - C:\Users\ПК\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\iobitascsurfingprotection@iobit.com [Not Found]
FF Extension: No Name -  C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [Not Found]
CHR DefaultSearchKeyword: Default -> istartsurf
CHR DefaultSearchURL: Default -> http://www.istartsurf.com/web/?type=ds&ts=1429626619&from=face&uid=ST9500325AS_6VEXLAYYXXXX6VEXLAYY&q={searchTerms}
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - https://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
2015-04-24 22:35 - 2009-07-14 08:20 - 00000000 ___HD () C:\Windows\system32\GroupPolicy
Task: {46449685-FA2D-4D79-8D61-F10422432CB5} - \{E8C5AD57-352F-4C3C-94E3-DF683E1B3508} No Task File <==== ATTENTION
AlternateDataStreams: C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Internet Explorer.website:TASKICON_0refresh-2130897801
AlternateDataStreams: C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Internet Explorer.website:TASKICON_1write1396807224
AlternateDataStreams: C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Internet Explorer.website:TASKICON_2adress_book2-1681692353
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Ppotap · 26.04.2015, 21:26 **[ТС]**

Прикладываю логи.
Баннер исчез. Но осталась вторая проблема при открытии папок на диске выскакивает сообщение "Прекращена работа программмы "Проводник". Программа "Проводник" перезапускается".

@shestale · 27.04.2015, 06:42

Скрин с сообщением покажите.
+
Подготовьте лог uVS.

@severnyj · 27.04.2015, 09:17

Деинсталлируйте:

ASUS WebStorage (HKLM-x32\...\ASUS WebStorage) (Version: 3.0.84.161 - eCareme Technologies, Inc.)

Проверьте ошибки в проводнике

@Ppotap · 27.04.2015, 14:14 **[ТС]**

Добрый день.
Выполнил рекомендацию удалить ASUS WebStorage (HKLM-x32\...\ASUS WebStorage) (Version: 3.0.84.161 - eCareme Technologies, Inc.)
Все стало работать как нужно.
Большое спасибо всем, кто помогал в лечении компьютера.
Тему можно закрывать. Все проблемы решены.

@severnyj · 27.04.2015, 14:27

Сделайте лог Securitycheck by glax24: http://safezone.cc/resources/s... glax24.25/

Рекомендации после удаления вредоносного ПО

@Ppotap · 28.04.2015, 10:37 **[ТС]**

Однако я рано радовался баннер опять стал вылазить. Прикладываю скриншот. Что можно сделать?

@Ppotap · 28.04.2015, 10:49 **[ТС]**

прикладываю логи

@Ppotap 0 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 16
		1
	Баннер с рекламой слева и вылетание при заходе в любую папку на диске 23.04.2015, 13:15. Показов 1305. Ответов 29 Метки нет (Все метки) Добрый день. В браузере Интернет эксплорер слева появляется баннер с рекламой при открытии любого сайта. Кроме того при входе на любую папку на диске аварийно завершается окружение и происходит перезапуск. В общем сидит какая-то дрянь. Стоит касперский Интернет секьюрити 2015 актуальный, сканировал CureIt и adwcleaner. Читал похожие ветки. Ничего не помогло. ВОт создал свой вопрос. Пожалуйста помогите. 0

@Sandor 21573 / 15524 / 2990 Регистрация: 08.10.2012 Сообщений: 63,117
	23.04.2015, 13:20	2
	Здравствуйте! Еще добавьте логи по правилам: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Sandor 21573 / 15524 / 2990 Регистрация: 08.10.2012 Сообщений: 63,117
	23.04.2015, 13:56	4
	Внимание! Рекомендации написаны специально для пользователя Ppotap. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: Time tasks Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\ПК\AppData\Roaming\istartsurf\UninstallManager.exe',''); QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe',''); QuarantineFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys',''); QuarantineFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.emorhc.bat', ''); QuarantineFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.erolpxei.bat', ''); QuarantineFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.resworb.bat', ''); QuarantineFile('c:\programdata\SetWallpaper.cmd', ''); DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32'); DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32'); DeleteFile('C:\Users\ПК\AppData\Roaming\istartsurf\UninstallManager.exe','32'); DeleteFile('C:\Windows\system32\Tasks\{E8C5AD57-352F-4C3C-94E3-DF683E1B3508}','64'); DeleteFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.emorhc.bat', '32'); DeleteFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.erolpxei.bat', '32'); DeleteFile('C:\Users\ПК\AppData\Roaming\Browsers\exe.resworb.bat', '32'); DeleteFile('c:\programdata\SetWallpaper.cmd', '32'); DeleteService('BAPIDRV'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Setwallpaper','command'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте лог сканирования AdwCleaner. 0

@Ppotap 0 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 16
	23.04.2015, 14:25 [ТС]	5
	прикрепляю лог 0

@Sandor 21573 / 15524 / 2990 Регистрация: 08.10.2012 Сообщений: 63,117
	23.04.2015, 14:33	7
	Сообщение от Ppotap AdwCleaner[S0].txt - [7641 байт] - [23/04/2015 14:00:43] Этот лог еще покажите. + Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Добавлено через 1 минуту Сообщение от Sandor Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению А Вы приложили не тот. 0

@Sandor 21573 / 15524 / 2990 Регистрация: 08.10.2012 Сообщений: 63,117
	24.04.2015, 08:37	9
	Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

Dragokas 17998 / 7699 / 892 Регистрация: 25.12.2011 Сообщений: 11,477 Записей в блоге: 16
	24.04.2015, 14:33	10
	Здравствуйте, Ppotap ! Пожалуйста, выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ClearQuarantineEx(true); QuarantineFile('C:\Users\ПК\AppData\Roaming\Microsoft\Windows\Start Menu\Internet Explorer.website',''); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы. 0

@Ppotap 0 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 16
	24.04.2015, 23:05 [ТС]	11
	Прикладываю файлы 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	27.04.2015, 06:42	15
	Скрин с сообщением покажите. + Подготовьте лог uVS. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,683
	27.04.2015, 09:17	16
	Деинсталлируйте: ASUS WebStorage (HKLM-x32\...\ASUS WebStorage) (Version: 3.0.84.161 - eCareme Technologies, Inc.) Проверьте ошибки в проводнике 1

@Ppotap 0 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 16
	27.04.2015, 14:14 [ТС]	17
	Добрый день. Выполнил рекомендацию удалить ASUS WebStorage (HKLM-x32\...\ASUS WebStorage) (Version: 3.0.84.161 - eCareme Technologies, Inc.) Все стало работать как нужно. Большое спасибо всем, кто помогал в лечении компьютера. Тему можно закрывать. Все проблемы решены. 0

@severnyj 3877 / 2093 / 342 Регистрация: 04.04.2012 Сообщений: 7,683
	27.04.2015, 14:27	18
	Сделайте лог Securitycheck by glax24: http://safezone.cc/resources/s... glax24.25/ Рекомендации после удаления вредоносного ПО 0

@Ppotap 0 / 0 / 0 Регистрация: 23.04.2015 Сообщений: 16
	28.04.2015, 10:37 [ТС]	19
	Однако я рано радовался баннер опять стал вылазить. Прикладываю скриншот. Что можно сделать? Миниатюры 0