[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\bzgo.exe','');
 QuarantineFile('C:\Windows\system32\GameMon.des','');
 QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\SSLEAY32.dll','');
 QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\LIBEAY32.dll','');
 QuarantineFile('c:\users\destroying\appdata\roaming\okaj7\izzocpvb\svchost.exe','');
 QuarantineFile('c:\users\destroying\appdata\roaming\storagestorage84\storagesystem.exe','');
 QuarantineFile('C:\Users\Destroying\AppData\Roaming\oKaj7\PDav21if\xm_3\sse42.exe','');
 QuarantineFile('c:\users\destroying\appdata\roaming\okaj7\bzgo.exe','');
 DeleteFile('c:\users\destroying\appdata\roaming\okaj7\bzgo.exe','32');
 DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\PDav21if\xm_3\sse42.exe','32');
 DeleteFile('c:\users\destroying\appdata\roaming\storagestorage84\storagesystem.exe','32');
 DeleteFile('c:\users\destroying\appdata\roaming\okaj7\izzocpvb\svchost.exe','32');
 DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\LIBEAY32.dll','32');
 DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\izzOCpVb\SSLEAY32.dll','32');
DeleteFile('C:\Users\Destroying\AppData\Roaming\oKaj7\bzgo.exe','32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bgt');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Hosts сами патчили?

[regist]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

var PathAutoLogger, CMDLine : string;

  begin
  clearlog;
  PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
  AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
  SaveLog(PathAutoLogger+'report3.log');
  if FolderIsEmpty(PathAutoLogger+'CrashDumps')
     then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
     else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
      ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
  AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
  end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

+ сделайте лог этой утилитой.

[Destroying]

Цитата akok:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Hosts сами патчили? »

Данный файл отправил как Вы и просили, файл Hosts был отредактирован вручную, используя информацию о рекламных сайтах на других ресурсах.

[akok]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Destroying]

Цитата regist:

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://rghost.ru/ , http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме. + сделайте лог этой утилитой. »

И для Вас сделал, то, что Вы просили, ссылка на архив: http://rgho.st/6MyFnrs7q а также ссылка на лог: http://rgho.st/7FTMd2w8q

[Destroying]

Пожалуйста.

[akok]

Цитата Destroying:

файл Hosts был отредактирован вручную »

Он отредактирован не совсем верно, нужно заворачивать на localhost т.е. на 127.0.0.1 Да и подход защиты через host очень спорный и не эффективный, да и может приводить к замедлению работы компьютера.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  VirusTotal: C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
  () C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
  () C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe
  () C:\Users\Destroying\AppData\Roaming\t6O8K\QNx\svchost.exe
  () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\sse42.exe
  HKU\S-1-5-21-1237128432-1125515052-1262307622-1000\...\Run: [CzO] => C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe [4948480 2017-08-16] ()
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445","hxxp://www.yoursearching.com/?type=hp&ts=1452908515&z=64f70be1efae94581ad04b3g5zdwdodt3edb1w9c6e&from=face&uid=HitachiXHTS545032B9A300_100428PBP30016EA191LX","hxxp://mypoisk.su/"
  S1 vdi1njiw; C:\Windows\SysWOW64\Drivers\vdi1njiw.sys [13312 2017-08-21] () [File not signed]
  C:\Windows\SysWOW64\Drivers\vdi1njiw.sys
  2017-08-16 21:18 - 2017-08-16 21:19 - 000325120 _____ () C:\Users\Destroying\AppData\Roaming\m.exe
  2017-08-16 21:19 - 2017-08-21 22:30 - 000000000 _____ () C:\Users\Destroying\AppData\Roaming\s.s
  Task: {C4880520-681A-4C8A-AFF8-E983997008BB} - \GoogleUpdateTaskMachineUI  -> No File <==== ATTENTION
  2017-08-16 21:19 - 2017-08-16 21:19 - 004948480 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\Cizb.exe
  2016-12-16 11:09 - 2016-12-16 11:09 - 002967040 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\QNx\svchost.exe
  2017-03-04 19:45 - 2017-03-04 19:45 - 002409984 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\sse42.exe
  2015-03-09 02:02 - 2015-03-09 02:02 - 000361654 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libcurl-4.dll
  2015-03-09 01:52 - 2015-03-09 01:52 - 000108544 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libz-1.dll
  2015-03-09 02:35 - 2015-03-09 02:35 - 000077475 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libgcc_s_seh-1.dll
  2015-03-09 01:58 - 2015-03-09 01:58 - 000444399 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libgmp-10.dll
  2015-03-09 02:59 - 2015-03-09 02:59 - 000071103 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libjansson-4.dll
  2015-03-09 02:35 - 2015-03-09 02:35 - 000930660 _____ () C:\Users\Destroying\AppData\Roaming\t6O8K\uRz\xm_3\libstdc++-6.dll
  C:\Users\Destroying\AppData\Roaming\t6O8K\
  C:\Users\Destroying\AppData\Roaming\NotifyStorage1\NotifySystem.exe
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

nointegritychecks: ==> "IntegrityChecks" is disabled. <==== ATTENTION - функцию проверки подписей файлов при загрузке сами отключали?

[Destroying]

Цитата akok:

nointegritychecks: ==> "IntegrityChecks" is disabled. <==== ATTENTION - функцию проверки подписей файлов при загрузке сами отключали? »

Нет, я ничего такого не делал.

[Destroying]

Также я хотел бы уточнить, что после данного фикса, у меня вышло из всех аккаунтов, а также электронных ящиков. после попытки входа мне написали что возможно мой аккаунт был заблокирован и перекидывает для восстановление на не понятный ресурс. https://e.mail.ru/cgi-bin/passremind?type=mrim это на примере mail.ru в одну почту мне удалось зайти каким то образом. Хотелось бы уточнить, данный фикс не подразумевает каких либо краж паролей или серфа?