Траблы: Реклама в браузере.

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (SearchWay) - C:\Users\lobio\AppData\Local\Google\Chrome\User Data\Default\Extensions\achhckalphdlhbnohjonneffefbmaddi [2016-10-24]
OPR Extension: (SearchWay) - C:\Users\lobio\AppData\Roaming\Opera Software\Opera Stable\Extensions\achhckalphdlhbnohjonneffefbmaddi [2016-10-24]
OPR Extension: (Image Viewer) - C:\Users\lobio\AppData\Roaming\Opera Software\Opera Stable\Extensions\dnhfcfgphdddpgnffmpbpglhmcnmimib [2016-10-14]
OPR Extension: (SearchWay) - C:\Users\lobio\AppData\Roaming\Opera Software\Opera Stable\Extensions\fgldnknlljnfcfgchdijbjmmkdkmnabn [2016-10-14]
2016-10-24 22:33 - 2016-10-24 22:33 - 00003676 _____ C:\WINDOWS\System32\Tasks\InternetSF
2016-10-24 22:33 - 2016-10-24 22:33 - 00000000 ____D C:\Users\Все пользователи\Mail.Ru
2016-10-24 22:33 - 2016-10-24 22:33 - 00000000 ____D C:\Users\lobio\AppData\Local\Mail.Ru
2016-10-24 22:33 - 2016-10-24 22:33 - 00000000 ____D C:\ProgramData\Mail.Ru
Task: {AAFDDA5E-9CAF-439F-BA24-EFD80296F053} - System32\Tasks\InternetSF => Chrome.exe hxxp://thisgo.su/cgom
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [346]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [346]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [346]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
AlternateDataStreams: C:\Users\lobio\Application Data:NT [40]
AlternateDataStreams: C:\Users\lobio\Application Data:NT2 [346]
AlternateDataStreams: C:\Users\lobio\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\lobio\AppData\Roaming:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [346]
HKU\S-1-5-21-3499409509-4163389473-2107454565-1002\Software\Classes\regfile: regedit.exe "%1" <===== ATTENTION
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[lobiol]

Пожалуйста)

 

[Sandor]

Какие сейчас "траблы" остались?

[lobiol]

Те же самые: 

http://prntscr.com/cznjhs

[Sandor]

Удалите старые и соберите новые логи FRST.

[lobiol]

Пы.сы 

http://joxi.ru/D2PE3D5iZLPyA3 

Просто успел заскринить, каждый раз меняется сайт и перенаправляет на различные вида "Клубнички-Казино" "Казино" и т.п

 

[Sandor]

Я подразумевал не повторить фикс, а собрать свежие логи FRST.txt и Addition.txt

[lobiol]

gotovo

 

 

[Sandor]

Настройка прокси Ваша?

ProxyServer: http=212.15.99.30:3128

К сети подключаетесь через роутер? Если да, один компьютер?

[lobiol]

Компьютеров - несколько. 

Да, через роутер. 

Насчет прокси сказать не могу, помню что когда-то настраивал, но не помню,что был именно этот порт.

Но не думаю, что они могли что-то изменить. Они кроме захода в соц.сети ничего не знают)

Изменено 2 ноября, 2016 пользователем lobiol

[Sandor]

Компьютеров - несколько

Проблема на всех или только на одном?

[lobiol]

Только на одном.

[Sandor]

Сделайте и прикрепите лог сканирования MBAM.

[lobiol]

 

 

[Sandor]

Удалять ничего не нужно.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.