[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

  var ScriptPath : string;

begin
 ScriptPath := GetAVZDirectory +'av_block_remove.avz';
 if DownloadFile('https://regist.safezone.cc/scripts/av_block_remove_o.avz', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
   if DownloadFile('https://regist.safezone.cc/scripts/av_block_remove_o.avz', ScriptPath, 0) then ExecuteScript(ScriptPath) else
    begin ShowMessage('Невозможно загрузить скрипт AVZ для удаления майнера!'); exit;end;
 end;
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\svchost.exe
O26 - Debugger: HKLM\..\upfc.exe: [Debugger] = C:\Windows\system32\svchost.exe

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

[just_guy95@vk]

1. Скрипт выполнил
2. Файл отправил по почте
3. Строки пофиксил
4. Повторную диагностику провел, архив прилагаю

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ при наличии доступа в интернет (Файл - Выполнить скрипт):

Код:

var ScriptPath : string;

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(13);
 ScriptPath := GetAVZDirectory +'av_block_remove.avz';
 if DownloadFile('https://regist.safezone.cc/scripts/av_block_remove_o.avz', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
   if DownloadFile('https://regist.safezone.cc/scripts/av_block_remove_o.avz', ScriptPath, 0) then ExecuteScript(ScriptPath) else
    begin ShowMessage('Невозможно загрузить скрипт AVZ для удаления майнера!'); exit;end;
 end;
end.

Компьютер перезагрузится.



Повторите ещё раз логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

[Sandor]

Дополнительно:
Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

• Запустите утилиту
• Скопируйте и вставьте следующий текст в поле ввода:
  
  Код:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
  HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers

• Отметьте опцию Export keys.
• Нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

[just_guy95@vk]

Добрый день!
1. Скрипт выполнил
2. Логи прилагаю

UPD:
3. Файл Result.txt прилагаю

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Отставить, прошу прощения.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\JEYSvc\JEYSvc.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\Windows\SysWOW64\JEYSvc\JEYSvc.exe', '64');
 DeleteService('JEYSvc');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



После этого соберите логи Farbar по выше приведенной инструкции.

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

[just_guy95@vk]

1. Скрипт АВЗ выполнил
2. Файл quarantine.7z через форму отправил
3. Логи Farbar прилагаю
4. Базу безопасных файлов пополнил

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-2182331339-1512846567-2705399056-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR StartupUrls: Default -> "hxxp://rusearch.co"
  FirewallRules: [{6C1123FC-1300-4DAF-B1C2-3D8EAE50C644}] => (Allow) C:\Windows\SysWOW64\JEYSvc\JEYSvc.exe => No File
  FirewallRules: [{511CED86-0393-494B-9ABD-F0C111D5030E}] => (Allow) C:\Windows\SysWOW64\JEYSvc\JEYSvc.exe => No File
  FirewallRules: [{AF142F3F-3DF3-4987-9463-6AB4BE0F478F}] => (Allow) C:\Users\Just_guy_MSI\MediaGet2\mediaget.exe => No File
  FirewallRules: [{7873E254-54FD-4987-8EA5-17DF21E1F1D8}] => (Allow) C:\Users\Just_guy_MSI\MediaGet2\mediaget.exe => No File
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[just_guy95@vk]

Прилагаю файл Fixlog.txt

UPD:
У меня вкладки в Opera не удалились, а кеш и куки вроде как почистились