Всплывающие окна с рекламой

[Nikita Gorbushko]

Здравствуйте, нужна Ваша помощь. Был скачан и запущен exe файл из интернета, установились сервисы mail.ru, появилась всплывающие окна с рекламой, а также дополнительные рекламные блоки на youtube. С помощью AdwCleaner и Malwarebytes Anti-malware избавился от сервисов, но реклама так и осталась. Помогите разобраться, пожалуйста!

Вложения:

You must be logged in to view attached files.

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Запустите программу Блокнот и вставьте в открытое окно следующий текст

CreateRestorePoint:
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe"  /regrun
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [1679360 2012-02-28] (Wondershare)
HKU\S-1-5-21-2608073043-2279228004-2253963994-1000\...\Run: [MyDesktop] => C:\Users\CorJlaceH\AppData\Roaming\MyDesktop\linkme0704.exe  /killme_30 /restoreme_5 /url_hxxp://mpnl.ru/offers/uaby.csv /url2_hxxp://hello.limbbo.ru/offers/uaby.csv
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  No File
BHO: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSWebMon64.dat => No File
BHO-x32: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File
FF Plugin HKU\S-1-5-21-2608073043-2279228004-2253963994-1000: @acestream.net/acestreamplugin,version=3.1.7 -> C:\Users\CorJlaceH\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR HKU\S-1-5-21-2608073043-2279228004-2253963994-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
Task: {58CE96A3-322B-45C7-94D6-9F23926D97C3} - System32\Tasks\InternetAD => Chrome.exe hxxp://timeinsnewsing.org/hotravossm
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [159]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [159]
C:\Users\CorJlaceH\AppData\Roaming\MyDesktop\linkme0704.exe
EmptyTemp:
Reboot:

Сохраните полученный файл в папку где находится программа FRST/FRST64 под именем fixlist

Запустите программу FRST и нажмите кнопку Fix.
Когда программа закончит работу появиться сообщение «Fix completed». Нажмите OK.
Откроется блокнот с содержимым файла fixlog.txt. Вставьте содержимое этого файла в ваш ответ.

После этого выполните новую проверку программой FRST (перед нажатием клавиши Scan поставьте галочку в пункте Addition.txt) и оба её лога прикрепите к вашему ответу.

[Nikita Gorbushko]

Fix result of Farbar Recovery Scan Tool (x64) Version: 27-11-2016
Ran by CorJlaceH (28-11-2016 22:43:36) Run:1
Running from D:\Other\Программы
Loaded Profiles: CorJlaceH (Available Profiles: CorJlaceH)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe"  /regrun
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [1679360 2012-02-28] (Wondershare)
HKU\S-1-5-21-2608073043-2279228004-2253963994-1000\...\Run: [MyDesktop] => C:\Users\CorJlaceH\AppData\Roaming\MyDesktop\linkme0704.exe  /killme_30 /restoreme_5 /url_hxxp://mpnl.ru/offers/uaby.csv /url2_hxxp://hello.limbbo.ru/offers/uaby.csv
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  No File
BHO: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File
BHO: 电脑管家网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TSWebMon64.dat => No File
BHO-x32: No Name -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> No File
FF Plugin HKU\S-1-5-21-2608073043-2279228004-2253963994-1000: @acestream.net/acestreamplugin,version=3.1.7 -> C:\Users\CorJlaceH\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
CHR HKU\S-1-5-21-2608073043-2279228004-2253963994-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
Task: {58CE96A3-322B-45C7-94D6-9F23926D97C3} - System32\Tasks\InternetAD => Chrome.exe hxxp://timeinsnewsing.org/hotravossm
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [159]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [159]
C:\Users\CorJlaceH\AppData\Roaming\MyDesktop\linkme0704.exe
EmptyTemp:
Reboot:
*****************

Restore point was successfully created.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ QQPCTray => value removed successfully
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Wondershare Helper Compact.exe => value removed successfully
HKU\S-1-5-21-2608073043-2279228004-2253963994-1000\Software\Microsoft\Windows\CurrentVersion\Run\\MyDesktop => value removed successfully
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\.QMDeskTopGCIcon" => key removed successfully
HKCR\CLSID\{B7667919-3765-4815-A66D-98A09BE662D6} => key not found. 
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{13D67BB7-DB5F-48AA-884D-7A5D94168509}" => key removed successfully
HKCR\CLSID\{13D67BB7-DB5F-48AA-884D-7A5D94168509} => key not found. 
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B}" => key removed successfully
"HKCR\CLSID\{7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B}" => key removed successfully
"HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{13D67BB7-DB5F-48AA-884D-7A5D94168509}" => key removed successfully
HKCR\Wow6432Node\CLSID\{13D67BB7-DB5F-48AA-884D-7A5D94168509} => key not found. 
"HKU\S-1-5-21-2608073043-2279228004-2253963994-1000\Software\MozillaPlugins\@acestream.net/acestreamplugin,version=3.1.7" => key removed successfully
C:\Users\CorJlaceH\AppData\Roaming\ACEStream\player\npace_plugin.dll => not found.
"HKU\S-1-5-21-2608073043-2279228004-2253963994-1000\SOFTWARE\Google\Chrome\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{58CE96A3-322B-45C7-94D6-9F23926D97C3}" => key removed successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58CE96A3-322B-45C7-94D6-9F23926D97C3}" => key removed successfully
C:\Windows\System32\Tasks\InternetAD => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\InternetAD" => key removed successfully
C:\ProgramData\TEMP => ":1CE11B51" ADS removed successfully.
"C:\Users\Все пользователи\TEMP" => ":1CE11B51" ADS not found.
"C:\Users\CorJlaceH\AppData\Roaming\MyDesktop\linkme0704.exe" => not found.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 19622246 B
Java, Flash, Steam htmlcache => 14078 B
Windows/system/drivers => 397321003 B
Edge => 0 B
Chrome => 103513349 B
Firefox => 378476897 B
Opera => 485191150 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 84157 B
systemprofile32 => 759 B
LocalService => 66228 B
NetworkService => 306782 B
CorJlaceH => 5472385889 B

RecycleBin => 0 B
EmptyTemp: => 6.4 GB temporary data Removed.

================================

The system needed a reboot.

==== End of Fixlog 22:46:30 ====

Вложения:

You must be logged in to view attached files.

[Nikita Gorbushko]

Прошу прощения, уже должны были изменения какие-то произойти? Если да, то реклама не пропала, ни всплывающая, ни на Ютубе.

[Nikita Gorbushko]

Я извиняюсь, Вы мне поможете?

[mike_1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (Google Документы офлайн) - C:\Users\CorJlaceH\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-11-28]
2016-04-11 12:22 - 2016-04-11 12:22 - 0005083 _____ () C:\ProgramData\hwjqxkkr.zva
2016-04-11 12:10 - 2016-04-11 12:10 - 0004908 _____ () C:\ProgramData\lbogtyso.zat
C:\Users\CorJlaceH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\CorJlaceH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
C:\Users\CorJlaceH\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
FirewallRules: [{6C84B64C-C4F7-441A-BDFC-030E646C0A24}] => (Allow) C:\Users\CorJlaceH\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

[Автор]

Сообщения