Всплывающие рекламные окна справа по верх всех окон

[newlogi]

Доброго времени суток!

 

Появилась проблема с появлением окон.

Окна с рекламой открываются примерно через пару минут после включения компьютера. 

 

Штатный Касперский выявляет 23 подозрительных процесса, по запросу устраняет их, но окна продолжают появляться.

 

Причину появления заразы выяснить не удалось.

 

В Диспетчере задач удалось выявить процесс относящийся к этим рекламкам, это процесс "nw.exe" После его завершения окошки пропадают, но не на долго.

 

CureIT, запущенный в Безопасном режиме, придушил несколько троянов, но после перезагрузки ничего не изменилось.

 

Архив AutoLogger во вложении.

 

Заранее благодарю!

CollectionLog-2016.04.08-15.32.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\USER\AppData\Local\SystemMonitor2016\738903114.exe','');
 QuarantineFile('C:\Users\USER\AppData\Local\Hostinstaller\738903114_monster.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Program Files (x86)\badu\uc.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','apphide');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IDSCPRODUCT');
 DeleteFile('C:\Users\USER\AppData\Local\Hostinstaller\738903114_monster.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\USER\AppData\Local\SystemMonitor2016\738903114.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SystemMonitor2016','64');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[newlogi]

Добрый день!

 

Пришел ответ от newvirus@kaspersky.com:

"Вредоносный код в файле не обнаружен."

KLAN-4072708066

 

Заново сканирую систему CureIT! в Безопасном режиме.

Сразу после выложу лог по Правилам.

[newlogi]

Проблема не ушла.

 

В "Программы и компоненты" обнаружены и удалены следующие неизвестные программы

SunnyDay, Unity Web Player, SpaceSoundPro.

 

Последняя была обнаружена CureIT! как вредоносная.

 

Новый лог во вложении.

CollectionLog-2016.04.12-18.09.zip

[thyrex]

В "Программы и компоненты" обнаружены и удалены следующие неизвестные программы SunnyDay, Unity Web Player, SpaceSoundPro.

Удалите их

 

Сделайте лог полного сканирования МВАМ

[newlogi]

Добрый день!

 

Программу MBAM установил по инструкции, но Проверка обновлений не удается. Пишет "Не удается подключиться к серверу обновлений"

 

Версия базы данных: v2016.02.16.06

 

Имеет смысл сканировать на старых базах???

[newlogi]

После сканирования системы MBAM обнаружено 883 угрозы.

 

Окно сканера пока не закрываю. Но так и тянет нажать на огромную синюю кнопку "Удалить выбранное" )))

 

 

Выкладываю зопрошенный лог MBAM

mbamlog_130416.txt

Изменено 13 апреля, 2016 пользователем newlogi

[thyrex]

Удалите в МВАМ все найденное

[newlogi]

Благодарю!

 

Рекламные окна больше не появляются.

 

Из видимых проблем после лечения пока обнаружились следующие:

 

1) программа NVIDIA GeFors Exptrience уведомляет о наличие обновлений, но при попытке обновиться выдает ошибку и закрывается.

2) Internet Explorer  после запуска пытается открыться с домашней страницы www.yandex.ru, но выдает ошибку пытается закрыться, но снова выдает ошибку, на третью попытку закрыться выдает страницу с сообщением о невозможности открыть стартовую страницу. При этом если открыть соседнюю вкладку, то из адресной строки можно открыть любой сайт.

 

Если позволите, скрины ошибок приложу к посту.

 

Пришлось отключить все Надстройки Internet Explorer кроме надстроек Касперского, а так же удалить все ускорители и службы поиска.

После этих манипуляций Internet Explorer стал запускаться с домашней страници Яндекс.

 

Может подскажете как удалить из Надстроек Internet Explorer все ненужные Надстройки.

 

Спасибо.

 

Если есть необходимость, готов подготовить новые логи.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[newlogi]

Представляю лог FRST (2 файла в архиве)

FRSTarchiv.7z

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
S2 ContentProtector; "C:\Program Files\ContentProtector\ContentProtector.exe" [X]
S2 ContentProtectorUpdate; "C:\Program Files\ContentProtector\ContentProtectorUpdate.exe" [X]
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X]
2016-03-24 21:30 - 2016-04-07 21:21 - 00000000 ____D C:\Users\USER\AppData\Local\SystemMonitor2016
2016-03-19 09:18 - 2016-04-12 18:09 - 00000000 ____D C:\Users\USER\AppData\Local\app
2016-03-19 09:17 - 2016-04-07 19:16 - 00000000 ____D C:\Program Files\ContentProtector
2016-03-19 09:15 - 2016-04-12 14:11 - 00000000 ____D C:\Program Files\SpaceSoundPro
2016-03-19 09:15 - 2016-04-07 19:15 - 00000000 ____D C:\Program Files (x86)\badu
2016-03-19 09:15 - 2016-03-19 09:28 - 00000000 ____D C:\Users\USER\AppData\Local\34444335-1458382537-3531-5152-8CDCD47F7B31
2016-03-19 09:14 - 2016-03-19 09:14 - 00000000 _____ C:\Windows\SysWOW64\Number of results
2016-03-18 20:31 - 2016-04-02 00:08 - 00000000 ____D C:\Program Files (x86)\34444335-1458322312-3531-5152-8CDCD47F7B31
2016-03-18 20:29 - 2016-04-07 21:23 - 00000000 ____D C:\Users\USER\AppData\Roaming\YSearcher
2016-03-18 20:29 - 2016-04-07 21:18 - 00000000 ____D C:\Users\USER\AppData\Local\Hostinstaller
2016-03-18 20:29 - 2016-03-18 20:29 - 00000000 ____D C:\Users\Все пользователи\TimeTasks
2016-03-18 20:29 - 2016-03-18 20:29 - 00000000 ____D C:\ProgramData\TimeTasks
Task: {1931C02F-DA57-4637-8960-F27F1ABAF233} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {F20164D5-E680-4A95-827D-3082BCBA2924} - \Soft installer -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[newlogi]

Запрошенный лог во вложении

Fixlog.txt

[thyrex]

Сделайте лог AdwCleaner

[newlogi]

Лог готов

AdwCleanerS1.txt