В опере открываются ненужные сайты, компьютер тормозит

[Ганс]

На компьютере в ИЕ недавно открывались сайты ненужные, сейчас я там поставил другую стартовую страницу, теперь не открываются, в опере только открываются.

 

И тормозит работа компьютера, не знаю, от вирусов это или нет.

Сделал лог автологера.

 

CollectionLog-2016.06.27-13.33.zip

[SQ]

Здравствуйте,

Удалите eTranslator через установку/удаления программ в панели управления.
 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Documents and Settings\БУХ\Application Data\eTranslator\eTranslator.exe','');
 QuarantineFile('C:\Program Files\skinapp\cssmk.sys','');
 DeleteFile('C:\Program Files\skinapp\cssmk.sys','32');
 DeleteFile('C:\Documents and Settings\БУХ\Application Data\eTranslator\eTranslator.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Automatic Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zlezjxpzyt','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.
1. В заголовке письма напишите "Запрос на исследование вредоносного файла".
2. В письме напишите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина и нажмите "Отправить"
4. Полученный ответ сообщите здесь (с указанием номера KLAN)

AVZ -> Файл -> Мастер поиска и устранения проблем -> Системные проблемы -> Пуск -> Отметьте пункт указанный выше -> Исправить отмеченные проблемы.

 >>  Обнаружены опасные расширения в списке типов файлов, не представляющих угрозы

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

 

- Подготовьте лог AdwCleaner и приложите его в теме.

[Ганс]

AdwCleanerC1.txt

ClearLNK-27.06.2016_16-40.log

 

Вот эти логи получилось сделать, не получилось сделать архив с карантином AVZ.

Он иногда пишет, что нет доступа к созданному архиву, иногда архив создает, но при открытии его появляется сообщение, что архив поврежден или неожиданных конец архива.

 

Когда перенес программу на рабочий стол, то вот такой вид был:

 

Изменено 27 июня, 2016 пользователем Ганс

[SQ]

Когда перенес программу на рабочий стол, то вот такой вид был:

 

avz.JPG

Программу AVZ  нужно переносить со всеми необходимыми доп. каталогами.

 

 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
  
• Нажмите кнопку Scan.
  
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Ганс]

Сбросил сегодня пароль от учетной записи администратора, получилось запустить AVZ и отправить карантин.

От лаборатории пришло письмо, что вирусы не обнаружены.

 

Addition.txt

FRST.txt

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  CreateRestorePoint:
  CloseProcesses:
  HKLM\...\Run: [] => [X]
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
  Toolbar: HKU\S-1-5-21-57989841-1708537768-1801674531-1005 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
  OPR StartupUrls: "hxxp://rafagi.ru/?utm_content=d6f65ebf3d130ba328761eb9f322be6a&utm_source=startpm&utm_term=4E72A4AA1F5A1B91EA2420725968529F"
  2016-06-27 16:21 - 2015-06-17 09:41 - 00000000 ____D C:\Documents and Settings\БУХ\Application Data\eTranslator
  C:\Documents and Settings\БУХ\Local Settings\Temp\6osemiVIkv0M.exe
  C:\Documents and Settings\БУХ\Local Settings\Temp\F5j5Ve1az76a.exe
  C:\Documents and Settings\БУХ\Local Settings\Temp\fkj327.tmp.exe
  C:\Documents and Settings\БУХ\Local Settings\Temp\gZVoqPgeNxfV.exe
  C:\Documents and Settings\БУХ\Local Settings\Temp\KYcbyIgq7EPM.exe
  C:\Documents and Settings\БУХ\Local Settings\Temp\OblDLLoo9sld.exe
  C:\Documents and Settings\БУХ\Local Settings\Temp\uIn88ADK2Zme.exe
  C:\Documents and Settings\БУХ\Local Settings\Temp\wOtEHKs7gp6m.exe
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{32e34c63-2013-4ee9-b4fb-3bf4aa33aa25}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_1B_a3.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{60940425-4085-4f11-ab34-b9dacd636f4b}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_19_1b5.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{61a955b5-06dc-4371-bae4-c228777d6d87}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_1B_a3.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{680849bc-b86d-4669-9219-ad9ac13e4ddc}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_19_1b5.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{6a8f8752-e2ec-485d-8e46-b2509f668d26}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_E_1d9.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{6da75278-e916-4a18-934f-1d90b2cebabd}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_E_1d9.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{7b7c1f93-8199-4da7-88eb-e25a222c7a15}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_19_1b5.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{9ee0a337-0726-4400-95e8-77e893ec681c}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_E_1d9.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{a70b6806-f2e5-44a5-abb2-14a63cedf752}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_E_1d9.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{acad8a98-286a-420b-9fa3-02c0593917c9}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_19_1b5.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{b524799f-1122-4978-ad75-514c406b08b5}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_1B_a3.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{c127373e-5025-4630-a5be-23c4d86ac559}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_19_1b5.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{cfe33012-70f5-428e-bedc-b26bf237e21c}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_1B_a3.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{e7727e52-306a-4026-a1f3-0a67008f443d}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_E_1d9.tmp => No File
  CustomCLSID: HKU\S-1-5-21-57989841-1708537768-1801674531-1005_Classes\CLSID\{fb668c1b-efe4-457c-9923-e0144150e9e1}\InprocServer32 -> C:\Documents and Settings\БУХ\Local Settings\Temp\v8_1B_a3.tmp => No File
  Shortcut: C:\Documents and Settings\БУХ\Рабочий стол\Поиcк в Интeрнете.lnk -> hxxp://go-search.ru/?utm_source=desktopeC:\Documents and Settings\ (No File)
  Shortcut: C:\Documents and Settings\БУХ\Application Data\Microsoft\Internet Explorer\Quick Launch\Поиcк в Интeрнете.lnk -> hxxp://go-search.ru/?utm_source=quicklauncheC:\Documents and Settings\ (No File)
  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zlezjxpzyt]
  EmptyTemp:
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.