Решена При запуске ПК на несколько секунд открывается CMD, после в браузере страница с рекламой.

[weks]

Доброго дня суток! Прошу помощи!
Примерно с 1 декабря текущего года при запуске компа вылетало окно cmd и сразу закрывалось, после этого в браузере вылетало окно с рекламой.
В реестре нашел строку в автозагрузке

Спойлер: "клац"

При удалении данного в течении некоторого времени все нормально, но через день появляется новая строчка с другим сайтом.
В планировщике задач вижу непонятную подозрительную строку, но сам не трогаю без вашего совета

Спойлер: "клац"

В IE домашней страницей постоянно делается какая-то podsolnushki.com, меняется так же через перезагрузку обратно.
Dr. Web Cure it нашел угрозу, удалил. Утилита от касперского нашла две угрозы, удалила, SpyHunter тоже нашел, тоже удалил. В итоге проблема вроде бы как исчерпана, но волнуюсь что через несколько перезагрузок всплывет проблема опять, так что прошу вашей помощи.
Так же на почту начала лететь какая-то дичь, ранее такого не наблюдалось.

Спойлер: "дичь"

Логи собрал. Жду вашей помощи. Заранее спасибо!

Повторно сканирую через SpyHunter, опять находит ту же угрозу.

Спойлер: Спойлер

 

[weks]

Со спайхантером отбой, расширение uBlock для хрома. Удалил полностью, поставлю альтернативу.

 

[Sandor]

Здравствуйте!

сканирую через SpyHunter

Удалите его, так как:
https://safezone.cc/threads/pochemu-ne-sleduet-ispolzovat-programmu-spyhunter.28842/

"Пофиксите" в HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = podsolnushki.com
R3 - HKCU\..\URLSearchHooks: (no name) - {8dec4b69-27c4-405d-a37d-8d45c83f66ab} - (no file)
O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (file missing)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[weks]

Добрый день!
Фиксы сделал, отчет прикрепил.

 

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[weks]

Прикрепил

 

[Sandor]

Что из проблем еще осталось?

 

[weks]

Видимого ничего не осталось. Большое спасибо за помощь! Если что обнаружу, то напишу
Хорошего вам дня

 

[Sandor]

Не спешите. Проделайте завершающие шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[weks]

Выполнил все действия. Лог приложил.

 

[akok]

Исправьте по возможности:
--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.17.012.20098 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.70.0.3538.110 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics Disk Defrag Внимание! Подозрение на демо-версию антишпионской программы, программы-оптимизатора или вымогателя - scareware, badware или rogueware. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
AusLogics Disk Defrag Professional Внимание! Подозрение на демо-версию антишпионской программы, программы-оптимизатора или вымогателя - scareware, badware или rogueware. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.


По последнему блоку, если не используете, то можете деинсталлировать программы.

 

[weks]

Скажите, пожалуйста, как выполнить эти действия?

--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

 

[akok]

https://support.microsoft.com/ru-ru/help/4028544/windows-10-turn-windows-defender-firewall-on-or-off

 

[Sandor]

+
Рекомендации после удаления вредоносного ПО

 

[regist]

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.