[Vladimir50]

Мои логи.

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

AVG Web TuneUp IObit Malware Fighter 4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Gооglе Сhrоmе.lnk', '');
 QuarantineFile('C:\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE', '');
 ExecuteFile('schtasks.exe', '/delete /TN "InternetCA" /F', 0, 15000, true);
 DeleteFile('C:\PROGRAM FILES (X86)\GOOGLE\СHRОMЕ.BАT.EXE', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 ExecuteRepair(10);
 ExecuteRepair(22);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 127.0.0.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.lokal
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:4444;https=127.0.0.1:4445
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(Default) = 0127.0.0.1
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[Vladimir50]

Повторный лог.

[Sandor]

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Vladimir50]

Лог AdwCleaner.

[Sandor]

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Vladimir50]

логи

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} -> No File
CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Яндекс) - C:\Users\АРТЁМ\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp [2016-12-14]
OPR Extension: (Социальные сети без рекламы) - C:\Users\АРТЁМ\AppData\Roaming\Opera Software\Opera Stable\Extensions\fkoelhncoapeghghaaonlnpmboopnjfh [2016-12-06]
2016-12-16 18:56 - 2014-11-08 09:28 - 00000000 ____D C:\Users\Все пользователи\ProductData
2016-12-16 18:56 - 2014-11-08 09:28 - 00000000 ____D C:\ProgramData\ProductData
2016-12-15 13:59 - 2014-11-08 09:27 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-12-15 13:59 - 2014-11-08 09:27 - 00000000 ____D C:\ProgramData\IObit
Task: {3E407F16-0BE0-4213-BA79-1C4D4A7A8875} - \{A06797C3-8B3B-478B-BEDE-B2B5F7146284} -> No File <==== ATTENTION
Task: {73148D17-34C7-472B-8D1E-96307E84285B} - \{C1CBEC15-79B2-4DAA-9BAE-59041ACC887F} -> No File <==== ATTENTION
Task: {942726E3-3975-4979-BDFB-8A056A0D6997} - \{38D3E6CC-7B37-43DF-9EB6-8D79AA330E72} -> No File <==== ATTENTION
Task: {DF193542-64FA-4CC2-A3B6-B0530ECCB4C5} - \nethost task -> No File <==== ATTENTION
Task: {E29808EC-60C1-48A3-B333-617B253CF63C} - System32\Tasks\Driver Booster SkipUAC (АРТЁМ) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe [2016-05-23] (IObit)
Task: {E5FED0A4-D195-4A99-9FBA-33A662EA9364} - \{3FBC5BA6-AF36-4F70-BC6D-643EE3405E24} -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [346]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [346]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [346]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [346]
AlternateDataStreams: C:\Users\АРТЁМ\Application Data:NT [40]
AlternateDataStreams: C:\Users\АРТЁМ\Application Data:NT2 [346]
AlternateDataStreams: C:\Users\АРТЁМ\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\АРТЁМ\AppData\Roaming:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [346]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [346]
FirewallRules: [{128CD5D0-BB8D-40CF-9F07-4D8DD454CCA1}] => C:\Users\АРТЁМ\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.


Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

[Vladimir50]

Лог FIRST