Здравствуйте. Столкнулась с проблемой в 10 виндовс. Ноутбук часто тормозил, я списывала все на старое железо. Но после одной из перезагрузок на рабочем столе появился банер с рекламой какой-то програми-ускорителя для андроид. Я скачала Ваш сборник логов, запустила от имени админа. Запустился первый скрипт АВЗ, но после перезагрузки сборщик больше не запускался. Я скачала АВЗ, hijackthis и RSIT по-отдельности. В итоге при запуске стандартного скрипта № 3 АВЗ вибила ошибку. Остальные собранные логи прилагаю.

Отключите временно в Comodo все компоненты: антивирус, файрволл, HIPS и AutoSandbox и повторите сбор логов.

сделано)

Временно отключите антивирус, файрволл и прочие компоненты защиты (http://safezone.cc/forum/showthread.php?t=18577).

Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK (http://www.oszone.net/go.php?url=http://safezone.cc/resources/102/). Отчёт о работе прикрепите.

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):begin
TerminateProcessByName('c:\users\nadia\appdata\local\temp\373.exe');
QuarantineFile('C:\Users\Nadia\AppData\Local\Temp\C320C2E0-D1A35320-61FF1BA0-FD9465C0\1c371e4ae.sys', '');
QuarantineFile('C:\Users\Nadia\appdata\roaming\windowsupdater\updater.exe', '');
QuarantineFile('C:\Users\Nadia\AppData\Local\Host installer\1213653404_monster.exe', '');
QuarantineFile('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF\44BF9FAA-612A-4C98-BD2F-ECD598631DCF.exe', '');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '');
QuarantineFile('C:\Users\Nadia\AppData\Local\19305\Updater.exe', '');
QuarantineFile('C:\Program Files\Internet Explorer\iexplore.bat', '');
QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '');
QuarantineFile('c:\users\nadia\appdata\local\temp\373.exe', '');
DeleteFile('c:\users\nadia\appdata\local\temp\373.exe', '32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe', '32');
DeleteFile('C:\Program Files\Internet Explorer\iexplore.bat', '32');
DeleteFile('C:\Users\Nadia\AppData\Local\19305\Updater.exe', '32');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job', '32');
DeleteFile('C:\WINDOWS\Tasks\Crossbrowse.job', '32');
DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\utility.exe', '32');
DeleteFile('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF\44BF9FAA-612A-4C98-BD2F-ECD598631DCF.exe', '32');
DeleteFile('C:\Users\Nadia\AppData\Local\Host installer\1213653404_monster.exe', '32');
DeleteFile('C:\Users\Nadia\appdata\roaming\windowsupdater\updater.exe', '32');
DeleteFileMask('C:\Users\Nadia\appdata\roaming\windowsupdater', '*', true);
DeleteFileMask('C:\Users\Nadia\AppData\Local\Host installer', '*', true);
DeleteFileMask('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF', '*', true);
DeleteFileMask('C:\Program Files\Crossbrowse\Crossbrowse', '*', true);
DeleteFileMask('C:\Users\Nadia\AppData\Local\19305', '*', true);
DeleteDirectory('C:\Users\Nadia\appdata\roaming\windowsupdater');
DeleteDirectory('C:\Users\Nadia\AppData\Local\Host installer');
DeleteDirectory('C:\Users\Nadia\AppData\Local\44BF9FAA-612A-4C98-BD2F-ECD598631DCF');
DeleteDirectory('C:\Program Files\Crossbrowse\Crossbrowse');
DeleteDirectory('C:\Users\Nadia\AppData\Local\19305');
DelBHO('{0633EE93-D776-472f-A0FF-E1416B8B2E3D}');
ExecuteFile('schtasks.exe', '/delete /TN "44BF9FAA-612A-4C98-BD2F-ECD598631DCF" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExd" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExi" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Crossbrowse" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
ExecuteSysClean;
BC_QrFile('C:\Users\Nadia\AppData\Local\Temp\C320C2E0-D1A35320-61FF1BA0-FD9465C0\1c371e4ae.sys');
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Временно отключите антивирус, файрволл и прочие компоненты защиты. »
отключила.
Отчёт о работе прикрепите. »
прикрепила.

Выполните скрипт в АВЗ »
а здесь... как только жму "виполнить" АВЗ бьет ошибку и завершает работу. Может, попробовать в безопасном режиме?

UPD: ради интереса по новой запустила сборщик логов. Работает как часы, а АВЗ в одиночку никак(

А скриншот ошибки AVZ не могли бы приложить?
В Comodo перед запуском AVZ точно отключили ВСЕ компоненты - антивирус, файрволл, HIPS, AutoSandbox? Пропишите AVZ в доверенные файлы в расширенных настройках Comodo. Вообще говоря, Comodo - защитный продукт, требующий вдумчивой настройки и правильной реакции на его предупреждения. Судя по тому, что вредоносные программы работают, а AVZ нет - явно что-то не так. Если не получится выполнить скрипт в обычном режиме - загрузите Windows 10 в безопасном режиме (http://answers.microsoft.com/ru-ru/insider/wiki/insider_wintp-insider_repair/запуск-windows-10/0523fba5-96f7-45f6-a525-9832379513a7).

точно отключила. Даже из автозагрузки убрала.
попробую загрузится в безопасном режиме)

Отчитаюсь: в безопасном режиме та самая ситуация. АВЗ сразу бьет ошибку. Может, проще удалить антивирус?

Поправил скрипт, пробуйте в обычном режиме выполнить. Это не в антивирусе, а в 10-ке дело, скорее всего.

все получилось!

Выполните скрипт в AVZ:begin
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.exe', '');
QuarantineFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.exe', '');
QuarantineFile('C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo.exe', '');
DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.job', '32');
DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.job', '32');
DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10_user.job', '32');
DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.job', '32');
DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.job', '32');
DeleteFile('C:\WINDOWS\Tasks\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5_user.job', '32');
DeleteFile('C:\WINDOWS\Tasks\jTbbjGoinxzGo.job', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-10.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-4.exe', '32');
DeleteFile('C:\Program Files\CinemaPlus-4.5vV08.09\e18ddd81-a0e7-4fea-b359-747e7fe823c7-5.exe', '32');
DeleteFile('C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo.exe', '32');
DeleteFileMask('C:\Program Files\CinemaPlus-4.5vV08.09', '*', true);
DeleteDirectory('C:\Program Files\CinemaPlus-4.5vV08.09');
ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-6" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-1-7" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-10_user" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-4" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "e18ddd81-a0e7-4fea-b359-747e7fe823c7-5_user" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "jTbbjGoinxzGo" /F', 0, 15000, true);
RebootWindows(true);
end.Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Скачайте AdwCleaner (by Xplode) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

карантин отправила.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите кэш и куки в браузерах (http://safezone.cc/threads/kak-pochistit-kehsh-i-kuki-cookies-v-populjarnyx-brauzerax.25218/) и сообщите, что с проблемами.

Все сделала. После того, как ноут перезагрузился, реклама появилась, хотя с момента создания темы я ее не видела. Почистила браузери, снова перезагрузилась. Пока баннера не видно

UPD: возможно ошибаюсь, но баннер появился повторно после инсталляции обновлений виндовс во время одной из перезагрузок ноута.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

сделано

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1042081177-3272775777-3223507534-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?imsid=8896124d52de8bcb2e41f25f7514b949&text=
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\Nadia\AppData\Roaming\jTbbjGoinxzGo
Task: {3720B202-5F2F-4290-84BE-E4416B299A43} - \Update Service for Torrent Search -> No File <==== ATTENTION
Task: {B61BB1BD-41BE-4C09-B8E7-77940E176597} - \Update Service for Torrent Search2 -> No File <==== ATTENTION
HKU\S-1-5-21-1042081177-3272775777-3223507534-1001\...\StartupApproved\StartupFolder: => "crossbrowse.lnk"
HKU\S-1-5-21-1042081177-3272775777-3223507534-1001\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_147CE6BDE8B8738F81ABA3AC82DCD6AB"
Reboot:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки все компоненты антивируса, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

Спасибо за помощь. Реклама не появлялася, ноут вроде чуть быстрее соображает. Заметила один нюанс, при закачке ехе-файлов система меня не спрашивает что с ним делать, а сразу закачивает на диск. Это поправить можно?

система меня не спрашивает что с ним делать, а сразу закачивает на диск »
Вероятно Вы подразумевали браузер, а не система, так? В настройках браузера как правило можно задать параметр - сразу закачивать в определенную папку или спрашивать место назначения.