Зависание компьютера, баннеры, реклама

[ark01aarus]

Добрый день. Прошу помощи у знатаков, ноутбук Asus K52J - постоянно зависает, в браузерах реклама показывается, многие программы отображаются крокозябрами (что-то с кодировкой). Прикладываю архив проверки.

CollectionLog-2014.11.29-12.06.zip

[mike 1]

Вы архив с Автологгером распаковывали перед тем как запустить его? 

[ark01aarus]

Вы архив с Автологгером распаковывали перед тем как запустить его? 

да

[Roman_Five]

Пофиксите в Hijackthis (инструкция в подписи):
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yambler.net/?im
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/search
R3 - Default URLSearchHook is missing
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 m.ok.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: ggg
O1 - Hosts: 91.223.89.120 ok.ru
O1 - Hosts: 91.223.89.120 odnoklassniki.ru
O1 - Hosts: 91.223.89.120 www.odnoklassniki.ru
O1 - Hosts: 91.223.89.120 m.odnoklassniki.ru
O2 - BHO: ShopperProBHO - {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} - C:\ProgramData\ShopperPro\ShopperPro.dll
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

Прокси Ваш? если нет - пофиксите и это:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.137.1:3128

+
Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 ClearHostsFile;
 TerminateProcessByName('C:\Program Files\Common Files\ShopperPro\spbiu.exe');
 SetServiceStart('SPBIUpdd', 4);
 SetServiceStart('SPBIUpd', 4);
 StopService('SPBIUpdd');
 StopService('SPBIUpd');
 QuarantineFile('spbiu.exe','');
 QuarantineFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','');
 QuarantineFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL','');
 QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe','');
 QuarantineFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe','');
 QuarantineFile('C:\PROGRA~2\INSTAL~1\{2BF2E~1\setup.exe','');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32');
 DeleteFile('C:\ProgramData\ShopperPro\ShopperPro.dll','32');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbici32.dll','32');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiw.sys','32');
 DeleteFile('C:\PROGRA~2\INSTAL~1\{2BF2E~1\setup.exe','32');
 DeleteFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe','32');
 DeleteFile('C:\Users\User\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Program Files (x86)\iWebar\iWebar-chromeinstaller.exe','32');
 DeleteFile('C:\Windows\Tasks\DSite.job','64');
 DeleteFile('C:\Windows\Tasks\iWebar-chromeinstaller.job','64');
 DeleteFile('C:\Program Files (x86)\iWebar\iWebar-codedownloader.exe','32');
 DeleteFile('C:\Program Files (x86)\iWebar\iWebar-enabler.exe','32');
 DeleteFile('C:\Program Files (x86)\iWebar\iWebar-firefoxinstaller.exe','32');
 DeleteFile('C:\Program Files (x86)\iWebar\iWebar-updater.exe','32');
 DeleteFile('C:\Windows\Tasks\iWebar-updater.job','64');
 DeleteFile('C:\Windows\Tasks\iWebar-firefoxinstaller.job','64');
 DeleteFile('C:\Windows\Tasks\iWebar-enabler.job','64');
 DeleteFile('C:\Windows\Tasks\iWebar-codedownloader.job','64');
 DeleteFile('C:\Windows\system32\Tasks\DSite','64');
 DeleteFile('C:\Windows\system32\Tasks\iWebar-chromeinstaller','64');
 DeleteFile('C:\PROGRA~1\COMMON~1\System\SYSPLA~2.DLL','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Maintenance\SPMupdate2','64');
 DeleteFile('C:\Windows\system32\Tasks\iWebar-updater','64');
 DeleteFile('C:\Windows\system32\Tasks\iWebar-firefoxinstaller','64');
 DeleteFile('C:\Windows\system32\Tasks\iWebar-enabler','64');
 DeleteFile('C:\Windows\system32\Tasks\iWebar-codedownloader','64');
 DeleteFile('C:\Program Files (x86)\ShopperPro\ShopperPro.exe','32');
 DeleteFile('C:\Program Files (x86)\ShopperPro\updater.exe','32');
 DeleteFile('C:\ProgramData\ShopperPro\spbihe.js','32');
 DeleteFile('C:\Program Files (x86)\SysPlayer\updater.exe','32');
 DeleteFile('C:\PROGRA~3\Mozilla\oxouhvd.exe','32');
 DeleteFile('C:\Program Files\Common Files\ShopperPro\spbiu.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ymouwea','64');
 DeleteFile('C:\Windows\system32\Tasks\SysPlayerUpd','64');
 DeleteFile('C:\Windows\system32\Tasks\SPMupdate1','64');
 DeleteFile('C:\Windows\system32\Tasks\SPBIW_UpdateTask_Time_323833333638353836372d3423412a55452a4123576c32','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProUpd','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperProJSUpd','64');
 DeleteFile('C:\Windows\system32\Tasks\ShopperPro','64');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\SPMupdate3','64');
 DelBHO('A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','InstallShieldSetup');
 DeleteService('SPBIUpdd');
 DeleteService('SPBIUpd');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Для создания архива с карантином выполните скрипт:
 

begin
DeleteFile('Qurantine.zip','');
ExecuteFile('7z.exe', 'a -tzip -mx=9 -pinfected Quarantine.zip .\Quarantine\*', 100, 0, true);
end.

Отправьте на проверку файл  Quarantine.zip из папки AVZ через портал My Kaspersky (если являетесь пользователем продуктов Лаборатории Касперского и владеете действующим кодом активации одного из продуктов) или через портал Kaspersky Virus Desk.
Для получения ответа в более короткий срок отправьте Ваш запрос через портал My Kaspersky.

"Порядок действий на портале My Kaspersky:":

1) Пройдите авторизацию в Kaspersky Account, используя адрес электронной почты/логин и пароль. Если Вы ещё не зарегистрированы в Kaspersky Account, выберите Создать Kaspersky Account и следуйте инструкциям. На вкладке Мои коды портала My Kaspersky добавьте действующий код активации используемого Вами продукта;
2) На вкладке Мои запросы выберите Создать запрос и создайте запрос в Вирусную лабораторию;
3) В меню Выберите тип запроса выберите Запрос на исследование вредоносного файла;
4) В окне Опишите проблему укажите: Выполняется запрос консультанта. Пароль на архив - infected;
5) Чтобы прикрепить к запросу архив карантина, установите флажок Я принимаю условия соглашения о загрузке файлов и нажмите на ссылку  Загрузить.
Важно: размер архива не должен превышать 15 МБ;
6) В строке EMail укажите адрес своей электронной почты;
7) Проверьте правильность введенных данных и нажмите на кнопку Отправка запроса.

"Порядок действий на портале Kaspersky Virus Desk:":

1) Установите флажок Я хочу получить результаты проверки по электронной почте и укажите адрес своей электронной почты;
2) Нажмите на ссылку Выбрать файл и прикрепите архив карантина.
Важно: размер архива не должен превышать 12 МБ;
3) Убедившись в наличии строки Я хочу отправить на проверку Quarantine.zip, нажмите повторно на ссылку Выбрать файл.
4) Дождитесь ответа об успешной загрузке карантина.

 
Полученный через электронную почту ответ сообщите в этой теме.
 

Сделайте новые логи по правилам (только пункт 3).

[ark01aarus]

Сообщение от модератора Roman_Five

Не цитируйте скрипты!

Выполняю скрипт пишет

Ошибка Бегин в позиции 1:1 на первую строку ругается вроде

Ой извиняюсь не правильно выполнял. Сейчас будет правильно

CollectionLog-2014.11.29-14.44.zip

[Roman_Five]

Скачайте Junkware Removal Tool и сохраните на рабочем столе.

Выгрузите всё защитное ПО и браузеры, чтобы избежать конфликтов.

Щелкните правой кнопкой мыши и выберите "Запуск от имени администратора".

Программа запустится и начнётся сканирование Вашей системы.

Дождитесь завершения сканирования.

По окончании лог сканирования (JRT.txt) сохранится на рабочий стол и автоматически откроется.

Прикрепите полученный лог к следующему сообщению.

 

Сделайте лог AdwCleaner и MBAM

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635158

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

[ark01aarus]

Приготовил два файла, третий делается

все готово)

JRT.txt

AdwCleanerR0.txt

antimalwarelog.txt

[Roman_Five]

удалите всё найденное в AdwCleaner

(можете оставить Mail.Ru)

 

и лог MBAM всё ещё актуален.