В начале каждого запуска стали запускаться командная строка cmd.exe и Google Chrome со страничкой gmaegames.pro (чертовы рекламные баннеры). Я читал, что была аналогичная проблема здесь, но мне лечение по тому способу не помогло. Антивирус может максимум заблокировать страницу, когда включится раньше chrome. И кстати, я пытался отключить в диспетчере автозагрузок включение этого сайта, но это помогло ненадолго

Делайте логи http://forum.oszone.net/thread-98169.html

Вот

Здравствуйте!

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html):

O4 - HKCU\..\Run: [иар] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org
O4 - MSConfig\startupreg: иар [command] = C:\Windows\system32\cmd.exe /c start www.dipladoks.org (HKCU) (2018/11/03)
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32\Wbem
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\system32\WindowsPowerShell\v1.0
O22 - Task: {01D3C81B-049C-4169-8B21-A79641B7BF90} - E:\SETUP.EXE (file missing)
O22 - Task: {0336A2E4-8E00-45AC-ACE5-46D0F7912E85} - E:\OCEANS.EXE (file missing)
O22 - Task: {10CC4E01-30BF-416E-A8DA-9C876E1A67C7} - E:\OCEANS.EXE (file missing)
O22 - Task: {6B542FB9-9254-4D5B-9A13-5CD132511809} - E:\OCEANS.EXE (file missing)
O22 - Task: {7AABA9FC-CC64-4072-9789-8AA982A362FB} - E:\OCEANS.EXE (file missing)
O22 - Task: {89A01A32-8607-4C20-B29F-E3DCD79B5F59} - E:\OCEANS.EXE (file missing)
O22 - Task: {913DB091-E939-4CF4-8C16-B51D56F99F45} - E:\INST_32\SETUP_32.EXE (file missing)
O22 - Task: {A09B331A-D24A-4540-908F-526A7E619DBB} - E:\SETUP.EXE (file missing)
O22 - Task: {CDBD8D14-C97C-4471-B8F1-F0455B1E7E73} - E:\OCEANS.EXE (file missing)
O22 - Task: иар - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v иар /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"


Ярлыки

C:\Users\иар\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\иар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\иар\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\иар\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk

исправьте с помощью утилиты ClearLNK (http://safezone.cc/resources/clearlnk-udalenie-parametrov-zapuska-u-jarlykov.102/).
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\иар\AppData\Roaming\WNR\Ctfhost\ctfhost.exe', '');
QuarantineFileF('c:\users\иар\appdata\roaming\wnr\ctfhost', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteSchedulerTask('CTF Host');
DeleteSchedulerTask('иар');
DeleteFile('C:\Users\иар\AppData\Roaming\WNR\Ctfhost\ctfhost.exe', '64');
DeleteFileMask('c:\users\иар\appdata\roaming\wnr\ctfhost', '*', true);
DeleteDirectory('c:\users\иар\appdata\roaming\wnr\ctfhost');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Имя карантина - 2018.12.03_quarantine_439ec9e2e61d959bf1c5ad010c3545cd.7z

Лог

Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

лог

1.
Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:

Сбросить политики IE
Сбросить политики Chrome

В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

2.
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Логи

Через Панель управления - Удаление программ - удалите нежелательное ПО:

AusLogics BoostSpeed 8.0.2.0
Auslogics Disk Defrag Professional


Затем:

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
FF user.js: detected! => C:\Users\иар\AppData\Roaming\Mozilla\Firefox\Profiles\35xjub17.default\user.js [2016-01-12]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
Task: {BBAB3F8F-ABA7-42A9-BBCD-687B18834D4B} - \hajprrm -> No File <==== ATTENTION
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
AlternateDataStreams: C:\Users\иар\Downloads\An Actual Playable Tortilla Record Etched with a Laser Cutter.mp4:.gltth [13554]
AlternateDataStreams: C:\Users\иар\Downloads\Aura.zip:.gltth [19170]
AlternateDataStreams: C:\Users\иар\Downloads\BlueStacks-Installer_BS3_native.exe:.gltth [24306]
AlternateDataStreams: C:\Users\иар\Downloads\drw_free.exe:.gltth [12546]
AlternateDataStreams: C:\Users\иар\Downloads\Levi.ppt:.gltth [21426]
AlternateDataStreams: C:\Users\иар\Downloads\tsetup.1.3.14.exe:.gltth [17058]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Лог

Что с проблемой?

Проблема решена, спасибо!

В завершение:
1. Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Пардон за задержку, только сейчас открыл страницу

---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Security v.11.2.49.0 Внимание! Скачать обновления (https://www.esetnod32.ru/download/home/trial/)
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 4.3.20 v.4.3.20 Внимание! Скачать обновления (https://www.virtualbox.org/wiki/Downloads)
VLC media player 2.0.5 v.2.0.5 Внимание! Скачать обновления (https://www.videolan.org/vlc/download-windows.ru.html)
WinRAR 4.00 (32-разрядная) v.4.00.0 Внимание! Скачать обновления (https://www.rarlab.com/download.htm)
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.4.44846 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления (http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.html)
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.6.0.5970 Внимание! Скачать обновления (https://get.adobe.com/ru/air/)
Adobe Reader XI - Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC (http://get.adobe.com/ru/reader/otherversions/).
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 61.0.1 (x64 ru) v.61.0.1 Внимание! Скачать обновления (https://www.mozilla.org/ru/firefox/all/)
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.70.0.3538.110 Внимание! Скачать обновления (https://www.google.ru/chrome/browser/desktop/index.html)
^Проверьте обновления через меню Справка - О Google Chrome!^
Mozilla Firefox 49.0.1 (x86 ru) v.49.0.1 Внимание! Скачать обновления (https://www.mozilla.org/ru/firefox/all/)
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 56.0.3051.116 v.56.0.3051.116 Внимание! Скачать обновления (https://www.opera.com/ru/computer)
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Essentials v.15.4.3538.0513 Данная программа больше не поддерживается разработчиком.
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
MyWinLocker v.4.0.14.27 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MyWinLocker Suite v.4.0.14.19 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
FATE v.2.2.0.97 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update Installer for WildTangent Games App << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MyWinLocker 4 v.4.0.14.27 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WildTangent Games App v.4.1.1.47 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
WildTangent ShortcutProvider v.4.5.0.160 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.7.3.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware (https://www.malwarebytes.org/mwb-download/) и Malwarebytes AdwCleaner (https://ru.malwarebytes.com/adwcleaner/) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!



Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)