[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[soclick]

Сделал

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('c:\Windows\System32\Tasks\Microsoft\Windows\MUI\321164533', '');
 QuarantineFile('c:\Windows\System32\Tasks\Microsoft\Windows\WCM\WCM', '');
 DeleteSchedulerTask('Microsoft\Windows\MUI\321164533');
 DeleteSchedulerTask('Microsoft\Windows\WCM\WCM');
RebootWindows(false);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите ещё раз логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

[soclick]

Письмо отправил.

[Sandor]

Цитата soclick:

Письмо отправил »

Почему-то не дошло. Выложите, пожалуйста, на файлообменник и ссылку на скачивание отправьте мне через PM (личные сообщения).

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[soclick]

...

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-4277962894-4074546302-2026270733-1001\...\MountPoints2: {239d6090-ef13-11e8-8087-806e6f6e6963} - "G:\diskMenu.exe" 
  HKU\S-1-5-21-4277962894-4074546302-2026270733-1001\...\MountPoints2: {6ce861e0-8ee2-11e8-806b-806e6f6e6963} - "G:\diskMenu.exe" 
  HKU\S-1-5-21-4277962894-4074546302-2026270733-1001\...\MountPoints2: {f5fde8f1-b050-11e8-8075-7085c269744d} - "G:\setup.exe" 
  HKU\S-1-5-21-4277962894-4074546302-2026270733-1001\...\MountPoints2: {f5fde91d-b050-11e8-8075-7085c269744d} - "H:\setup.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {12B58BBE-2DE1-4B2D-BB54-57D1028FAA26} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
  Task: {48720375-7BEE-4E76-9380-816CB4F7AB2C} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
  Task: {69B17E17-D1AA-4EEC-AA58-1BEF1018A9D4} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
  Task: {D96CF873-E99F-47BF-B11C-7BD642E8ACFF} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
  Task: {E752DC6B-4D90-4D37-8134-2C43217AFA04} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
  C:\Users\lizer\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKU\S-1-5-21-4277962894-4074546302-2026270733-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
  AlternateDataStreams: C:\ProgramData\.rdata:X [128]
  AlternateDataStreams: C:\Users\lizer\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
  AlternateDataStreams: C:\Users\lizer\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394]
  AlternateDataStreams: C:\Users\lizer\AppData\Local\Temp:$DATA​ [16]
  FirewallRules: [{6502D7B0-6201-4968-9605-0D81563C4E4C}] => (Allow) LPort=27015
  FirewallRules: [{96051C36-7C8C-4B8D-B17C-DFE57F171809}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{1BD8D5CF-9FB8-41A3-B3B5-C553EF8D0DDF}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{5F368F59-45B8-45B6-884D-C03D8AD4D6D9}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{AA7BDDF3-7D35-491A-B4D8-F290C770D2A1}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{011868B2-7151-4208-89F4-F8B5944E189F}] => (Allow) LPort=80
  FirewallRules: [{835516D3-C4C1-448E-AB0B-F884534C8A76}] => (Allow) LPort=443
  FirewallRules: [{DD6908BC-39F6-4CCA-98FA-95D67FE98B65}] => (Allow) LPort=20010
  FirewallRules: [{84CA8BB2-8E45-4C2B-BF2A-6C8545DFA01C}] => (Allow) LPort=3478
  FirewallRules: [{8518F0AC-C241-43A2-A8A9-38DEDD09FA2E}] => (Allow) LPort=7850
  FirewallRules: [{A1CE76AA-F18E-41FD-AC09-C434CDA8292D}] => (Allow) LPort=7852
  FirewallRules: [{C6D65724-9B85-47D9-9582-C68F6FD9CD5B}] => (Allow) LPort=7853
  FirewallRules: [{6F37AA1D-775E-4776-B34D-7EC898BBA413}] => (Allow) LPort=27022
  FirewallRules: [{C056A8E2-7AA2-4F94-9856-B7D61DA2E064}] => (Allow) LPort=6881
  FirewallRules: [{6C33C588-3743-4BE7-905E-DF0BA37FC00F}] => (Allow) LPort=33333
  FirewallRules: [{76CE5CB9-F6E9-4CC6-9A75-56018240894B}] => (Allow) LPort=20443
  FirewallRules: [{AD156C34-CE5C-43DC-922F-44F44188B3AB}] => (Allow) LPort=8090
  FirewallRules: [{622D89B3-C4D0-488F-9247-7AF7D7F47C32}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{29EC6BFC-5814-4DEC-BDCD-052F82FirewallRules: [{B55A4599-3EFB-40C1-96DE-2B8E25444BD5}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{B55A4599-3EFB-40C1-96DE-2B8E25444BD5}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{FE2C9400-FFA2-4483-B48F-692BE9D786A1}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{B97DCDC0-3378-4E88-A946-2C4869F27BB3}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{DAE03998-B33A-4F70-A630-CB649AA4DFCD}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{3232339A-C00F-40C6-BE70-FA5A7F99085A}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{0D888AB7-EE4E-4BC3-AFE6-77EC45E8D281}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{CF32F75B-6261-44F6-A6E6-A6F82998AC7E}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{95A927C3-E7D6-46B5-B861-3E6F14085DC1}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{29B1F6FB-710D-429B-8A9D-1EE2604B4AE0}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{F6893B01-A974-4F76-BE5D-973E83CD387F}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{EF95656A-52E5-43AF-8A9C-FC0346E6652C}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{DC1FD1C8-358A-4988-AF62-1C1640ED8A25}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{1797DA5D-90E0-4220-9BD0-D23ED8DA968B}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{B099BAFF-9B85-4CDB-87E7-D294258C1F37}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{0E81A9B1-C461-41F9-91C5-07082847EC1F}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{31DD9ED4-FA26-4ADB-8863-0FCD13E73F3A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{3E56796D-ADEE-4903-9CB0-A054BF2F5548}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{9E1783E7-B283-4701-92A3-0C64F20B6B15}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
  FirewallRules: [{83839B58-1135-4260-964F-86202ECDA658}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{5D3F52A2-34D5-4626-B17E-050209DA3A54}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Карантин вы прислали из папки AVbr, а нужен из ...\Autologger\AV
Он будет небольшого размера. Если есть, отправьте его по указанному выше адресу.

[soclick]

Цитата Sandor:

Карантин вы прислали из папки AVbr, а нужен из ...\Autologger\AV Он будет небольшого размера. Если есть, отправьте его по указанному выше адресу. »

Прошу прощения отправил

[soclick]

Лог после скрипта FRST