Не запускается реестр, Ccleaner, при загрузке открывается игровой сайт.

[Guplee]

Чистящие программы не работают, реестр не запускается, при включении открывается игровой сайт. Антивирус ничего не нашел, сканировал Avastom, Dr.Wed. Прошу помочь мне, так как я плохо понимаю, как исправить эту проблему и что делать. Только установил Windows 10 и не хотелось бы сносить систему. Если поможете, куплю себе антивирус Касперского

[саша98]

Получается ли сделать лог?

2. Скачайте актуальную версию автоматического сборщика логов, необходимого для анализа ОС и распакуйте полученный архив в любую удобную для Вас папку. Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр) во избежание конфликтов при работе утилит автоматического сборщика логов, т.к. иначе возможно значительное снижение производительности ОС, её зависание и/или отказ (появление BSOD, т. е. синего экрана смерти). Запустите файл AutoLogger.exe и следуйте выводимым рекомендациям. Дождитесь окончания работы автоматического сборщика логов. В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip

[Guplee]

Получается ли сделать лог?

2. Скачайте актуальную версию автоматического сборщика логов, необходимого для анализа ОС и распакуйте полученный архив в любую удобную для Вас папку. Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр) во избежание конфликтов при работе утилит автоматического сборщика логов, т.к. иначе возможно значительное снижение производительности ОС, её зависание и/или отказ (появление BSOD, т. е. синего экрана смерти). Запустите файл AutoLogger.exe и следуйте выводимым рекомендациям. Дождитесь окончания работы автоматического сборщика логов. В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip

 Я отключил Avast, но вот что вылезает при попытке запуска. Включить то я могу, но это не вызовет конфликт?

Изменено 2 сентября, 2015 пользователем Guplee

[thyrex]

Разрешите выполнение программы

[Guplee]

Разрешите выполнение программы

 

Ничего не происходит. Точнее сказать, я кликаю на exe файл и ничего не происходит. 

Изменено 2 сентября, 2015 пользователем Guplee

[mike 1]

Сделайте логи специальной версией Автологгера.

Изменено 2 сентября, 2015 пользователем mike 1

[Guplee]

Сделайте логи специальной версией Автологгера.

Уже сделано.

CollectionLog-2015.09.02-23.12.zip

[thyrex]

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Саша\AppData\Local\ScheduleCD\ScheduleCD.exe','');
QuarantineFile('C:\Users\Саша\AppData\Roaming\newSI_8\s_inst.exe','');
QuarantineFile('C:\Users\Саша\AppData\Roaming\newSI_2\s_inst.exe','');
QuarantineFile('C:\Users\Саша\AppData\Roaming\newSI_10\s_inst.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Users\Саша\AppData\Roaming\newSI_10\s_inst.exe','32');
DeleteFile('C:\Users\Саша\AppData\Roaming\newSI_2\s_inst.exe','32');
DeleteFile('C:\Users\Саша\AppData\Roaming\newSI_8\s_inst.exe','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_8.job','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_2.job','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_10.job','32');
DeleteFile('C:\Users\Саша\AppData\Local\ScheduleCD\ScheduleCD.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Daily Trigger ScheduleCD','64');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_10','64');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_8','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ обычной версией Autologger и предоставьте НОВЫЕ логи

[Guplee]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Саша\AppData\Local\ScheduleCD\ScheduleCD.exe','');
QuarantineFile('C:\Users\Саша\AppData\Roaming\newSI_8\s_inst.exe','');
QuarantineFile('C:\Users\Саша\AppData\Roaming\newSI_2\s_inst.exe','');
QuarantineFile('C:\Users\Саша\AppData\Roaming\newSI_10\s_inst.exe','');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CMD');
DeleteFile('C:\Users\Саша\AppData\Roaming\newSI_10\s_inst.exe','32');
DeleteFile('C:\Users\Саша\AppData\Roaming\newSI_2\s_inst.exe','32');
DeleteFile('C:\Users\Саша\AppData\Roaming\newSI_8\s_inst.exe','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_8.job','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_2.job','32');
DeleteFile('C:\WINDOWS\Tasks\newSI_10.job','32');
DeleteFile('C:\Users\Саша\AppData\Local\ScheduleCD\ScheduleCD.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\Daily Trigger ScheduleCD','64');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_10','64');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_2','64');
DeleteFile('C:\WINDOWS\system32\Tasks\newSI_8','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Выполните правила ЕЩЕ РАЗ обычной версией Autologger и предоставьте НОВЫЕ логи

 

Нету файла AVZ.exe

[mike 1]

Запускайте файл svchost. 

[Guplee]

Все сделано, как вы и просили. Прикрепил Скрин с ответом и новые логи, и quarantine.zip на всякий случай.

 

Готово

 

Сообщение от модератора Mark D. Pearlstone

Карантин прикреплять и цитировать полностью сообщение не нужно.

 

CollectionLog-2015.09.03-15.57.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

[Guplee]

Готово.

Addition.txt

FRST.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

 

CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3458367728-1463294321-3483133732-1000 -> 59B4D3490626C98A48D963E795B90BFD URL = hxxp://search.conduit.com/Results.aspx?gd=&ctid=CT3320294&octid=EB_ORIGINAL_CTID&ISID=ISID_ID&SearchSource=58&CUI=&UM=4&UP=SPEE6B1F15-0F99-4A98-A6E9-F6D58C6ABFDE&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-3458367728-1463294321-3483133732-1000 -> ADB77C1619A69E8E34997F54AB8F05A6 URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-3458367728-1463294321-3483133732-1000 -> E8F2D169BB15A6C85EE3F9E394636939 URL = hxxp://search.conduit.com/Results.aspx?ctid=CT3320294&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=4&UP=SPEE6B1F15-0F99-4A98-A6E9-F6D58C6ABFDE&q={searchTerms}&SSPV=
SearchScopes: HKU\S-1-5-21-3458367728-1463294321-3483133732-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dbfb30bd5fd93b91422ee54c07714420&text={searchTerms}
SearchScopes: HKU\S-1-5-21-3458367728-1463294321-3483133732-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=dbfb30bd5fd93b91422ee54c07714420&text=
SearchScopes: HKU\S-1-5-21-3458367728-1463294321-3483133732-1000 -> {B9F8EC11-FADC-4225-B69A-9B98EFED323A} URL = hxxp://www.search.ask.com/web?tpid=ORJ-ST-SPE&o=APN11461&pf=V7&p2=^BE7^OSJ000^YY^RU&gct=&itbv=12.24.1.53&apn_uid=D7F99D7A-F524-48BC-B154-E4C4F56F577A&apn_ptnrs=BE7&apn_dtid=^OSJ000^YY^RU&apn_dbr=ie&doi=2015-02-25&trgb=IE&q={searchTerms}&psv=&pt=tb
BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} ->  No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-3458367728-1463294321-3483133732-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR HKLM-x32\...\Chrome\Extension: [imijhgaanagfamlcfmhddkhljoabfcdj] - <no Path/update_url>
Task: {0AAA3715-1B5B-4093-B681-53354AA66300} - \Daily Trigger ScheduleCD -> No File <==== ATTENTION
Task: {2115D4D6-9E91-45C9-BFB8-E16650FCCC0C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {34101D9D-DEA3-409D-954E-331C6EBEC52A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {38D53677-0CE3-4AAD-A3C5-FBE6D6BC9277} - \Microsoft\Windows\File Classification Infrastructure\Property Definition Sync -> No File <==== ATTENTION
Task: {4D96E0E2-3091-4336-93A7-760E3EB59524} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {865673CF-ED4E-4CF6-AC0F-B2BE6CED730D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {8D9B1705-9500-4C37-83ED-81594DE15724} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {A1E77187-6D4C-49E8-AF72-EA75352F4C17} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {A2BA0258-B15C-47D0-AA25-7C0863DA4546} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {ABF5B323-9916-44EC-969D-92A103CAA076} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Users\Саша\AppData\Local\SwvUpdater\Updater.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:373E1720
AlternateDataStreams: C:\Users\Все пользователи\Temp:373E1720
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.
  

[Guplee]

Готово.

Fixlog.txt