После копирования номера, вставляется другой из буферки.

Sandor · Отправлено: **08:07, 03-10-2022** | #2

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата:

promo-provinces
Кнопка "Яндекс" на панели задач

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Автологера (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\PostClear\PostClear.bat', '');
 QuarantineFile('C:\ProgramData\propose-progress\bin.exe', '');
 QuarantineFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '');
 QuarantineFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '');
 QuarantineFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2526475123-1100838001-1066468635-1001');
 DeleteSchedulerTask('bmgBVpqOflHGOSqbhq');
 DeleteSchedulerTask('C:\Windows\Task\bmgBVpqOflHGOSqbhq.job');
 DeleteSchedulerTask('C:\Windows\Task\wow64.job');
 DeleteSchedulerTask('promo-provinces');
 DeleteSchedulerTask('wow64');
 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '32');
 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '64');
 DeleteFile('C:\ProgramData\propose-progress\bin.exe', '64');
 DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '32');
 DeleteFile('C:\Users\486B~1\AppData\Local\Temp\4zr.exe', '64');
 DeleteFile('C:\Users\Данил\AppData\Local\Programs\AdLock\054ac7a0ae.msi', '64');
 DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '32');
 DeleteFile('C:\Users\Данил\AppData\Local\Temp\hiZJGlEfBdSlFJAuc\BGzGjGsvOtenFWD\aDJJinN.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл CheckBrowserLnk.log
из папки

Цитата:

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

FlowErics0n · Отправлено: **15:20, 07-10-2022** | #3

Ещё раз добрый день, отсуствовал пк, все действия проделаны, promo province неудалялось через unins, удалил с самого пк нашел его папку. Прикрепляю ClearLNK лог.
clearlnk : Check_Browsers_LNK.log

Sandor · Отправлено: **15:24, 07-10-2022** | #4

Вы всё "правильно перепутали"

Цитата Sandor:

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению »

А вы прикрепили CheckBrowserLnk.log

Карантин нужно отправить по форме или на почту, а не прикреплять к сообщению.
Если ещё возможно, удалите его из сообщения.

Цитата Sandor:

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. »

Этого тоже нет.

FlowErics0n · Отправлено: **16:36, 07-10-2022** | #5

Ну, такая моя внимательность xD. Приношу извинения что сделал все наоборот. Отправил папку карантина по форме. Прикладываю логи ClearLNK и CollectionLog ClearLNK-2022.10.07_16.18.27.log CollectionLog-2022.10.07-16.33.zip

Sandor · Отправлено: **11:07, 09-10-2022** | #6

Хорошо, продолжаем.

"Пофиксите" в HijackThis только следующее:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 193.37.68.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{d2f85437-c640-458e-bb57-14411b7fa024}: [NameServer] = 45.95.11.175
O22 - Task (.job): wow64.job - C:\Users\Данил\AppData\Local\Temp\4zr.exe (file missing)
O22 - Tasks: \S-7-6-95-1015281129-1166877725-1195279204-5143\{BICYZTIH-Z4QE-NDZ3-PIO3-5U13FW32ROW6} - C:\Users\Данил\AppData\Roaming\amd64_microsoft-windows-s..llercommandlinetool_31bf3856ad364e35_10.0.19041.1_none_2a5f489c740a390b\mfxplugin32_hw.exe
O23 - Service S2: 3proxy tiny proxy server - (3proxy) - C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.exe "C:\Users\Данил\Desktop\3proxy-0.9.3-x64\bin64\3proxy.cfg" --service (file missing)

Перезагрузите компьютер.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.