Самопроизвольный запуск браузера и отркытие вкладки с рекламой 4relay

egor011@vk · CollectionLog-2016.10.21-21.28.zip

есть

egor011@vk · Отправлено: **19:04, 23-10-2016** | #12

ну так что?

Sandor · Отправлено: **08:11, 24-10-2016** | #13

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\Егор\AppData\Local\Temp\qq-bundle.exe', '');
 QuarantineFile('C:\ProgramData\PCprhq\sPGCwwmeYE0.bat', '');
 QuarantineFile('C:\ProgramData\TddqRaJxC\NQeMkyt5.bat', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\{C4175C8D-CA6F-47EA-9F73-FA18D8122779}\0.8', '');
 QuarantineFile('C:\Users\Егор\AppData\Local\MsgsobIxT\oZXAsmoW1.bat', '');
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "KRB Updater Utility" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "InternetSE" /F', 0, 15000, true);
 DeleteFile('C:\Users\Егор\AppData\Local\Temp\qq-bundle.exe', '32');
 DeleteFile('C:\ProgramData\PCprhq\sPGCwwmeYE0.bat', '32');
 DeleteFile('C:\ProgramData\TddqRaJxC\NQeMkyt5.bat', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\{C4175C8D-CA6F-47EA-9F73-FA18D8122779}\0.8', '32');
 DeleteFile('C:\Users\Егор\AppData\Local\MsgsobIxT\oZXAsmoW1.bat', '32');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '32');
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','qq-bundle');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU',2,2,true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger (уже пробуйте стандартную версию). В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

egor011@vk · CollectionLog-2016.10.24-14.05.zip

вроде всё

Sandor · Отправлено: **14:38, 24-10-2016** | #15

Скачайте AdwCleaner (by ToolsLib) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

egor011@vk · Отправлено: **16:06, 24-10-2016** | #16

чистоAdwCleaner[S1].txt

egor011@vk · Отправлено: **00:43, 25-10-2016** | #17

рекламы больше нет

божечки реестр запустился

Sandor · Отправлено: **09:05, 25-10-2016** | #18

Скачайте Farbar Recovery Scan Tool (зеркало) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.