[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.



Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

 begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 QuarantineFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 QuarantineFile('c:\program files (x86)\transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe', '32');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
 DeleteDirectory('C:\ProgramData\RobotDemo');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O22 - BITS Job: (download) {351640F3-B343-4E39-ABC2-595A4CC2ED5A} - http://emupdate.avcdn.net/files/emupdate/pong.txt -> C:\Windows\TEMP\1674aa7c-747d-48ee-acfa-395050615a0d

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

[markeley]

Спасибо!
Отчет с ClearLNK прикрепил
Скрипт 1 выполнил
Скрипт 2 выполнил

Имя карантин-а(ов) сообщите в теме:
2021.11.05_quarantine_bc5b199a7ca4d252b64bf66af7d8b44c.7z

Пофиксил в HijackThis
Повторил логи, прикрепил

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[markeley]

Спасибо!
Сканировал, логи прикрепил.

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1033015312-4152882920-3174503589-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://start.ticno.com","hxxp://www.mail.ru/cnt/9516","hxxp://www.google.ru/","hxxp://www.yandex.ru/?win=63&clid=1214621","hxxp://mail.ru/cnt/10445?gp=newcustom15","hxxps://www.google.com/"
  Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{39f758bc-21cb-4c6c-a104-9de4ea4a0957}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden
  butterfly gather 1.4.8.28 (HKLM-x32\...\{f0263a5b-19b1-4999-87fc-626321f6208e}) (Version: 1.4.8.28 - Corona de Mateo e Hijos S. de H.) Hidden
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ появятся скрытые ранее

Цитата:

Blocks all annoying Ads 1.0.0.0 butterfly gather 1.4.8.28

Удалите.
Не получится стандартно, удалите принудительно через Geek Uninstaller