[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\users\олег\appdata\local\fupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\олег\appdata\local\powermonitor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\screenup', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\users\олег\appdata\local\filterstart', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Олег\AppData\Local\FilterOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\FileSystemOptions\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\TestMenu\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\ImmediateHelp\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\LastNews\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\ValidateLife\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\DateOption\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\rightchose\regCheck.vbs', '');
 QuarantineFile('C:\Users\Олег\AppData\LocalLow\SearchGo\searchgo.dll', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\fupdate\fupdate.exe', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\PowerMonitor\PowerMonitor.exe', '');
 QuarantineFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\FilterStart\FilterStart.exe', '');
 QuarantineFile('C:\Users\Олег\AppData\Local\SearchGo\searchgo.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "fupdate" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PowerMonitor" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Render RunTime Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Request Render Mgr" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
 DeleteFile('C:\Users\Олег\AppData\Local\FilterOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\FileSystemOptions\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\TestMenu\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\ImmediateHelp\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\LastNews\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\ValidateLife\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\DateOption\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\rightchose\regCheck.vbs', '32');
 DeleteFile('C:\Users\Олег\AppData\LocalLow\SearchGo\searchgo.dll', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\fupdate\fupdate.exe', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\PowerMonitor\PowerMonitor.exe', '32');
 DeleteFile('C:\Program Files (x86)\ScreenUp\future_helper.exe', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\FilterStart\FilterStart.exe', '32');
 DeleteFile('C:\Users\Олег\AppData\Local\SearchGo\searchgo.exe', '32');
 DeleteFileMask('c:\users\олег\appdata\local\fupdate', '*', true);
 DeleteFileMask('c:\users\олег\appdata\local\powermonitor', '*', true);
 DeleteFileMask('c:\program files (x86)\screenup', '*', true);
 DeleteFileMask('c:\users\олег\appdata\local\filterstart', '*', true);
 DeleteDirectory('c:\users\олег\appdata\local\fupdate');
 DeleteDirectory('c:\users\олег\appdata\local\powermonitor');
 DeleteDirectory('c:\program files (x86)\screenup');
 DeleteDirectory('c:\users\олег\appdata\local\filterstart');
 DelBHO('{2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','FilterOptions');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','kyianvgexc');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FileSystemOptions');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','TestMenu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ImmediateHelp');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','LastNews');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','ValidateLife');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','DateOption');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[kul]

Спасибо! Скрипт выполнил,отчет отправил по указанной форме. Вот отчет с ClearLNK. AdwCleaner еще сканировал, чуть попозже.

[kul]

Вот отчет сканирования AdwCleaner! Что то много он там нашел? Какие дальше будут указания?

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
• Нажмите кнопку "Scan" ("Сканировать").
• По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
  • Политики IE
  • Политики Chrome
    и нажмите Ok.
• Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[kul]

Вот отчет

[kul]

Вот еще отчеты

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
2016-11-10 23:10 - 2016-11-10 23:10 - 00000000 ____D C:\Users\Олег\AppData\Local\Войны престолов
2016-11-10 23:06 - 2016-11-10 23:06 - 00000000 ____D C:\Users\Олег\AppData\Local\Вoйти в Интeрнет
2016-11-10 23:06 - 2016-11-10 23:06 - 00000000 ____D C:\Users\Все пользователи\vCore
2016-11-10 23:06 - 2016-11-10 23:06 - 00000000 ____D C:\ProgramData\vCore
2016-11-10 23:00 - 2016-11-10 23:00 - 00000000 ____D C:\Users\Олег\AppData\Local\Поиcк в Интeрнете
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите что с проблемой.
Подробнее читайте в этом руководстве.

[kul]

Вроде жизнь налаживается?! Пока вот сообщения шлю, активности бяк не замечаю! С благодарностью! Что ещё посоветуете? Для закрепления успеха. Кстати антивир MSE у меня стоит, часть бяк он среагировал, но и пропустил не мало. Он у меня лет 8 уже, не замечал за ним такое! Пока писал, не заметил ваше сообщение, сейчас сделаю!

[kul]

Вот лог-файл. Часа 3-4 полет нормальный. Думаю- решено! Спасибо! Если что, обращусь!!!