Добрый вечер,
Столкнулась с проблемой, при загрузке виндовс открывается стандартный браузер (гугл хром) и в нем открывается сайт 12kotov с рекламой, так же на всех страницах в браузере присутствует реклама. Также при переходе по любой ссылке открывается дополнительная вкладка с рекламой. Нашла в реестре ключ, который отвечал за старт рекламы при загрузки виндовс https://pp.userapi.com/c638924/v638924095/468be/7OAqwc2vKE4.jpg
После удаления этого ключа, реклама при загрузке пропала, но остальные симптомы остались.

Какие логи нужно предоставить и где скачать программы для создания логов?
Спасибо!

Привет.

Подготовьте логи по правилам http://forum.oszone.net/thread-98169.html

Вот логи. Спасибо, что пытаетесь помочь!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('E:\autorun.inf', '');
QuarantineFile('C:\Users\3\Favorites\Links\Интернет.url', '');
QuarantineFile('C:\Windows\microsoft\svchost.exe', '');
DeleteFile('C:\Windows\microsoft\svchost.exe');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.



Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.



Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Вот логи, а файл карантин отправила как Вы и говорили

Отключите синхронизацию в Chrome - Как отключить синхронизацию в Chrome (https://support.google.com/chrome/answer/6386691?hl=ru)

1.
Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:

Политики IE
Политики Chrome
и нажмите Ok.

Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

2.
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Вот логи. Реклама пока еще не пропала.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
BHO: YoutubeAdBlock -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> C:\Program Files (x86)\YubeAlckIE\tSaleQS.dll => No File
BHO-x32: YoutubeAdBlock -> {2C6A44CB-AD42-4731-A544-3FBD3D83AB5B} -> C:\Program Files (x86)\YubeAlckIE\k_PPQz4.dll => No File
2017-07-11 11:14 - 2017-07-11 11:14 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigncf94eeef968476c1
2017-07-11 11:03 - 2017-07-11 11:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign53fc169dd81004b6
2017-07-11 09:52 - 2017-07-11 09:52 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign37d76504d0c6a232
2017-07-10 21:59 - 2017-07-10 21:59 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign23961bfa883119de
2017-07-10 11:28 - 2017-07-10 11:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign317ba385704acb09
2017-07-09 21:59 - 2017-07-09 21:59 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign81aaaf2ebdaedd56
2017-07-09 21:44 - 2017-07-09 21:44 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignfb4d3085d1dcbce3
2017-07-09 19:39 - 2017-07-09 19:39 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign246082beb1643e09
2017-07-09 19:01 - 2017-07-09 19:01 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3a907f74f37bc063
2017-07-09 15:00 - 2017-07-09 15:00 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign74b50d86ecd6672e
2017-07-09 12:38 - 2017-07-09 12:38 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignfe64ffa3abf88ddd
2017-07-09 12:03 - 2017-07-09 12:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign830dbe2d2f2f8f81
2017-07-09 09:33 - 2017-07-09 09:33 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign118a9f270fbc9265
2017-07-08 18:49 - 2017-07-08 18:49 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign91e20c8b09f4f716
2017-07-08 17:20 - 2017-07-08 17:20 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigna4b85c0804d43a8b
2017-07-08 15:07 - 2017-07-08 15:07 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign7a1f67580b2e692c
2017-07-08 13:57 - 2017-07-08 13:57 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign0ef454a5b1db5cdf
2017-07-08 13:09 - 2017-07-08 13:09 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign94ecddc250f7e9ee
2017-07-08 11:37 - 2017-07-08 11:37 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign54058e4307245a39
2017-07-07 16:54 - 2017-07-07 16:54 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign06c97df337b67a18
2017-07-07 16:52 - 2017-07-07 16:52 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign9d643633142759c5
2017-07-07 15:32 - 2017-07-07 15:32 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3a43ca732632897f
2017-07-07 14:57 - 2017-07-07 14:57 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignc80fe24bd41921ac
2017-07-07 13:44 - 2017-07-07 13:44 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign50cda08a50e52b8f
2017-07-07 12:28 - 2017-07-07 12:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign8c1501a378ae9046
2017-07-06 21:45 - 2017-07-06 21:45 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign736ec64466c28283
2017-07-06 09:02 - 2017-07-06 09:02 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignb97e1b9cb19621d2
2017-07-06 08:41 - 2017-07-06 08:41 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3c4e0078a215ca49
2017-07-06 06:09 - 2017-07-06 06:09 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign78bb48525b365c04
2017-07-06 05:32 - 2017-07-06 05:32 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign4af24a5e84096dc6
2017-07-05 15:46 - 2017-07-05 15:46 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign0dbaef770fe995bf
2017-07-05 14:41 - 2017-07-05 14:41 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign4f02975e4ed0426e
2017-07-05 14:30 - 2017-07-05 14:30 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignf4fe75cda86f31b9
2017-07-04 14:28 - 2017-07-04 14:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign35c25b0f32bce872
2017-07-04 11:02 - 2017-07-04 11:02 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignf2e2c3c6037761a8
2017-07-04 10:42 - 2017-07-04 10:42 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignab5fcf9af7346244
2017-07-04 10:03 - 2017-07-04 10:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignf0c417519e205c26
2017-07-03 13:03 - 2017-07-03 13:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign1338e49ee3ad5c5d
2017-07-03 12:04 - 2017-07-03 12:04 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigne8a5fc6f90a3f5a0
2017-07-03 11:20 - 2017-07-03 11:20 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignb53c4fd2c8b0b7be
2017-07-02 14:53 - 2017-07-02 14:53 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign3052b9edab909735
2017-07-02 11:27 - 2017-07-02 11:27 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignfa18accfb7722679
2017-07-02 10:39 - 2017-07-02 10:39 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign8680d4efa2cd815f
2017-06-29 08:35 - 2017-06-29 08:35 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign742cffee61561cc7
2017-06-29 08:28 - 2017-06-29 08:28 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignd2c392c5ae38471f
2017-06-28 23:49 - 2017-06-28 23:49 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignd8d014351cc48635
2017-06-28 14:26 - 2017-06-28 14:26 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign6854ede06feed016
2017-06-28 12:30 - 2017-06-28 12:30 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsignac0e40171ba83783
2017-06-27 22:03 - 2017-06-27 22:03 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign693b2e287ff232af
2017-06-27 21:53 - 2017-06-27 21:53 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign08f083c1c22c8141
2017-06-27 08:52 - 2017-06-27 08:52 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsigncc42b2f238107080
2017-06-26 21:16 - 2017-06-26 21:16 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign26c2da085b778a30
2017-06-26 20:19 - 2017-06-26 20:19 - 00000000 ____D C:\Users\3\AppData\Local\Tempzxpsign8c127cdf3ac56878
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File
Task: {09DF2459-35F7-424B-AEEC-D75CD79C4665} - System32\Tasks\2C6A44CB-AD42-4731-A544-3FBD3D83AB5B2 => Rundll32.exe "C:\Program Files (x86)\YubeAlckU\QRycv7T.dll",#1 <==== ATTENTION
HKU\S-1-5-21-1295226181-2911231635-9613387-1001\Software\Classes\.scr: scrfile => <==== ATTENTION
FirewallRules: [{5AF8C9FA-80F5-41B6-907F-8FC154D4936C}] => (Allow) C:\Users\3\AppData\Local\yc\Application\yc.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Я скопировала код в буфер и нажала фикс один раз, вот логи

Реклама пока еще не пропала »
Если по-прежнему не пропала, уточните, только в Хроме?

https://pp.userapi.com/c836528/v836528790/46e48/4lGZP70coLQ.jpg
В Ie проблемы нет, а в хроме есть, смотрите спойлер и так же открываются дополнительные окна с рекламой.

Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Реклама появляется при включении расширения документы гугл. Удалить его ?

Да, удалите. Было изменено вредоносом.

В завершение:
1. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Вот лог

------------------------------- [ HotFix ] --------------------------------
HotFix KB4016871 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4016871)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления (http://www.rarlab.com/download.htm)
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43804 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.


Прочтите и выполните Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

хот фикс я установлю, винрар обновила. торент использую только в случае необходимости, качаю с более менее проверенных источников, типа рутрекер, Спасибо за рекомендации, и Спасибо огромное за помощь!