Решена Cmd.exe запускает браузер с порнухой!

[Lerka]

Открывается командная строка с Cmd.exe и сразу запускается эксплорер открывая окно за окном. Есетнод не видит вирусов, все тромозит работать невозможно! Помогите, пожалуйста!!!!

 

[Кирилл]

Lerka, ждем логи.

 

[Lerka]

день добрый, прикрепила

 

[shestale]

Выполните скрипт в Farbar Recovery Scan Tool. Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.

start
CreateRestorePoint:
Task: {332D90D2-5C0C-4E94-866D-9B58C43A04A6} - System32\Tasks\ComDev => C:\Users\Валерия\AppData\Local\ComDev\ComDev.exe  <==== ATTENTION
Task: {5CB6B0DB-5C56-4EE1-95C5-245ECEDC42E2} - System32\Tasks\disk => C:\Users\Валерия\AppData\Local\disk\disk.exe  <==== ATTENTION
Task: {D5F2D7C9-7B81-4D22-9358-48FD9362ED92} - System32\Tasks\urlopener => cmd.exe /c start microsoft-edge:hxxp://atraff1.ru
HKU\S-1-5-21-270595524-28496935-865781452-1001\...\Run: [owzaxyqnhv] => explorer "hxxp://ownerga.ru/?utm_source=uoua03&utm_content=69b3091f404c4e4f101f66a8f377ce9b&utm_term=4F25A800648BCDABEC40692F67894373&utm_d=20170308" <===== ATTENTION
HKLM\...\Winlogon: [Userinit] C:\Users\Валерия\AppData\Local\Kometa\StartButton\kometastartvx64.exe,C:\Windows\system32\userinit.exe,
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKU\S-1-5-21-270595524-28496935-865781452-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=831105
CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=831102"
2017-03-08 14:47 - 2017-03-08 19:36 - 00000000 ____D C:\Users\Валерия\AppData\Roaming\aswast
2017-03-08 14:46 - 2017-03-08 19:35 - 00000000 ____D C:\Users\Валерия\AppData\Local\Kometa
2017-03-08 14:44 - 2017-03-08 14:45 - 00000000 ____D C:\Users\Валерия\AppData\Local\ComDev
2017-03-08 14:44 - 2017-03-08 14:44 - 00003640 _____ C:\WINDOWS\System32\Tasks\ComDev
2017-03-08 14:43 - 2017-03-08 14:43 - 00000000 ____D C:\Users\Валерия\AppData\Local\Поиcк в Интeрнете
2017-03-08 14:49 - 2017-03-08 14:49 - 00000000 ____D C:\Users\Валерия\AppData\Local\Вoйти в Интeрнет
2017-03-08 14:48 - 2017-03-09 12:16 - 00003344 _____ C:\WINDOWS\System32\Tasks\urlopener
2013-05-02 02:45 - 2012-09-07 14:40 - 0000256 _____ () C:\ProgramData\SetStretch.cmd
2013-05-02 02:45 - 2009-07-22 13:04 - 0024576 _____ () C:\ProgramData\SetStretch.exe
2013-05-02 02:45 - 2012-09-07 14:37 - 0000103 _____ () C:\ProgramData\SetStretch.VBS
2017-03-08 14:48 - 2017-03-08 14:48 - 4626583 ____N () C:\Users\Валерия\AppData\Local\Temp\1TTa9covzFYf.exe
2017-03-10 12:25 - 2016-10-21 15:22 - 2187992 _____ (Mail.Ru) C:\Users\Валерия\AppData\Local\Temp\8000-96ad-cd23-be5a.exe
2017-03-10 13:18 - 2016-10-21 15:22 - 2187992 _____ (Mail.Ru) C:\Users\Валерия\AppData\Local\Temp\874b-577d-bf8d-b071.exe
2017-03-08 14:41 - 2017-03-08 14:41 - 3039448 ____N () C:\Users\Валерия\AppData\Local\Temp\8ba0dcQ62Ifi.exe
2017-03-08 14:45 - 2017-03-08 14:44 - 0828424 _____ () C:\Users\Валерия\AppData\Local\Temp\C5F5.tmp.exe
2017-03-08 14:51 - 2017-03-08 14:51 - 0873456 ____N () C:\Users\Валерия\AppData\Local\Temp\CH1SKpHPawVc.exe
2017-03-08 14:52 - 2017-03-08 14:52 - 0873456 _____ () C:\Users\Валерия\AppData\Local\Temp\EOBNZuSkFNuo.exe
2017-03-08 14:43 - 2017-03-08 14:43 - 0873456 ____N () C:\Users\Валерия\AppData\Local\Temp\GZyUOHc6rzQ8.exe
2017-03-08 14:50 - 2017-03-08 14:50 - 0873456 _____ () C:\Users\Валерия\AppData\Local\Temp\IiOKO3DSSwId.exe
2017-03-08 14:43 - 2017-03-08 14:43 - 0873456 ____N () C:\Users\Валерия\AppData\Local\Temp\ipfggXYbuSsB.exe
2017-03-08 14:50 - 2017-03-08 14:50 - 0873456 _____ () C:\Users\Валерия\AppData\Local\Temp\JVYGjEvPsATh.exe
2017-03-08 14:47 - 2017-03-08 14:47 - 4074166 ____N () C:\Users\Валерия\AppData\Local\Temp\jYsVenZd3p5j.exe
2017-03-08 14:42 - 2017-03-08 14:42 - 1654236 ____N (CPUID) C:\Users\Валерия\AppData\Local\Temp\KslioBiP2bhi.exe
2017-03-08 14:48 - 2017-03-08 14:48 - 4626583 ____N () C:\Users\Валерия\AppData\Local\Temp\loOWnm4f2AVU.exe
2016-11-14 13:00 - 2016-10-21 15:22 - 4157656 _____ (Mail.Ru) C:\Users\Валерия\AppData\Local\Temp\MailRuUpdater.exe
2017-01-13 18:53 - 2017-03-09 20:13 - 4105944 _____ (Mail.Ru) C:\Users\Валерия\AppData\Local\Temp\mrutmp.exe
2017-03-08 14:52 - 2017-03-08 14:52 - 0873456 _____ () C:\Users\Валерия\AppData\Local\Temp\nW7uxZheEsAi.exe
2017-03-08 14:49 - 2017-03-08 14:49 - 0873456 ____N () C:\Users\Валерия\AppData\Local\Temp\oD4X8lyNoLO5.exe
2017-03-08 14:49 - 2017-03-08 14:49 - 0873456 ____N () C:\Users\Валерия\AppData\Local\Temp\P2cr1qNfQkeB.exe
2017-03-08 14:51 - 2017-03-08 14:51 - 0873456 ____N () C:\Users\Валерия\AppData\Local\Temp\PEyYNGeOqn5Q.exe
2017-03-08 14:47 - 2017-03-08 14:47 - 4074166 ____N () C:\Users\Валерия\AppData\Local\Temp\RPQRhiT18bSJ.exe
2017-03-08 14:41 - 2017-03-08 14:41 - 3039448 ____N () C:\Users\Валерия\AppData\Local\Temp\SPlyk2lmZlQA.exe
2017-03-08 14:42 - 2017-03-08 14:42 - 1654236 ____N (CPUID) C:\Users\Валерия\AppData\Local\Temp\vaBIHnMcgVMA.exe
2016-11-10 19:52 - 2016-11-10 19:52 - 0004929 _____ () C:\ProgramData\czchsjpj.srw
EmptyTemp:
Reboot:
end

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.

 

[Lerka]

Farbar Recovery Scan Tool выдает ошибку, когда доходит до папки Temp. Пробовала неск раз.
ClearLNK
А в клинере можно нажать "очистить"?

 

[Lerka]

Было 93 угрозы, очистила все, в пн скину отчет. После всех манипуляций все зависает, например распечатка 1 листочка Word, заняла 4минуты. С чем это может быть связано?

 

[shestale]

Удалите в AdwCleaner все найденные объекты. Лог, который создается после удаления, прикрепите к сообщению.

Было 93 угрозы, очистила все, в пн скину отчет.

Вы о чем?

С чем это может быть связано?

Возможно с тем, что лечение еще не закончено.

 

[Lerka]

отправляю лог

 

[Sandor]

Открывается командная строка с Cmd.exe и сразу запускается эксплорер открывая окно за окном

Этого больше нет?

Тормозит по-прежнему? Если да, загрузитесь в безопасном режиме и проверьте. Результат сообщите.

 

[Lerka]

Тормозит жутко, все виснет, программы, браузер, любые задачи. Фотошоп открывался 7мин
Сейчас попр безоп режим
В безопасном режиме все открывается норм
Перезагрузилась и сразу все виснет(.

 

[Sandor]

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

 

[Lerka]

После всех экзекуций, удалила два антивируса. Оставила Adwcleaner. Комп ожил. Спасибо за помощь!

 

[Sandor]

Только AdwCleaner - это не антивирус, а утилита для разового удаления рекламного и нежелательного ПО.

Проделайте завершающие шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню File (Файл) - выберите Uninstall (Деинсталлировать).
• Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Lerka]

Лог

 

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Reimage Repair

Если стандартно не получится, удалите через Revo Uninstall

 

[shestale]

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0
Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.
VLC media player v.2.2.4
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.43295 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.1.0.1
iTunes v.12.5.4.42 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Служба Bonjour (Bonjour Service) - Служба остановлена
------------------------------- [ Browser ] -------------------------------
Yandex v.17.1.1.1003 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.56.0.2924.87 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Reimage Repair v.1.8.4.9 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.0.1.2130 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WildTangent Games v.1.0.0.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update Installer for WildTangent Games App << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WildTangent Games App v.4.0.10.5 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Smart Application Controller v.1.00 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Закрывайте все уязвимости.
+
Рекомендации после лечения

 

[Lerka]

Спасибо