Закрывает браузер, не дает сбросить виндовс

[YukioSB]

Помогите

[Info_bot]

Уважаемый(ая) YukioSB, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\media\mppr.exe');
 QuarantineFile('C:\Users\eizzi\AppData\Local\HearthstoneDeckTracker\spoolsv.exe', '');
 QuarantineFile('C:\Users\eizzi\AppData\Local\Microsoft\phtzzulg.5pf.exe', '');
 QuarantineFile('C:\Users\eizzi\AppData\Roaming\java.exe.exe', '');
 QuarantineFile('C:\Windows\INF\.NETFramework\CORPerfMonSymbols.exe', '');
 QuarantineFile('C:\Windows\InputMethod\SHARED\RC_ConnectedAccount.exe', '');
 QuarantineFile('c:\windows\media\mppr.exe', '');
 DeleteFile('C:\Users\eizzi\AppData\Local\HearthstoneDeckTracker\spoolsv.exe', '32');
 DeleteFile('C:\Users\eizzi\AppData\Local\HearthstoneDeckTracker\spoolsv.exe', '64');
 DeleteFile('C:\Users\eizzi\AppData\Local\Microsoft\phtzzulg.5pf.exe', '32');
 DeleteFile('C:\Users\eizzi\AppData\Local\Microsoft\phtzzulg.5pf.exe', '64');
 DeleteFile('C:\Users\eizzi\AppData\Roaming\java.exe.exe', '32');
 DeleteFile('C:\Users\eizzi\AppData\Roaming\java.exe.exe', '64');
 DeleteFile('C:\Windows\INF\.NETFramework\CORPerfMonSymbols.exe', '64');
 DeleteFile('C:\Windows\InputMethod\SHARED\RC_ConnectedAccount.exe', '64');
 DeleteFile('c:\windows\media\mppr.exe', '');
 DeleteFile('C:\Windows\Media\mppr.exe', '64');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\WinSetupMon.sys', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'java.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'phtzzulg.5pf', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'phtzzulg.5pf', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'spoolsv', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'spoolsv', '64');
 DeleteSchedulerTask('java.exe-3673');
 DeleteSchedulerTask('Launch Adobe CCXProcess');
 DeleteSchedulerTask('Microsoft\Microsoft Launcher');
 DeleteSchedulerTask('Microsoft\Windows\Windows Update Listner');
 DeleteSchedulerTask('phtzzulg.5pf');
 DeleteSchedulerTask('spoolsv');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[YukioSB]

Держите

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Winlogon: [Userinit] C:\Windows\System32\userinit.exe,C:\Windows\INF\.NETFramework\CORPerfMonSymbols.exe <==== ВНИМАНИЕ
HKU\S-1-5-21-1806741836-2610965512-956946583-1001\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe -overwolfsilent (Нет файла)
HKU\S-1-5-21-1806741836-2610965512-956946583-1001\...\Run: [Teams] => "C:\Users\eizzi\AppData\Local\Microsoft\WindowsApps\MSTeams_8wekyb3d8bbwe\ms-teams.exe" msteams:system-initiated (Нет файла)
ShortcutAndArgument: Update Store.lnk -> C:\Users\eizzi\AppData\Roaming\java.exe.exe => 
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {4CFA73B5-316B-43DF-9FBD-C534BFA3EE1A} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker -> Нет файла <==== ВНИМАНИЕ
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Users\eizzi"
Remove-MpPreference -ExclusionPath "zZRNnYdd.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\Windows"
Remove-MpPreference -ExclusionPath "C:\Windows\InputMethod"
Remove-MpPreference -ExclusionPath "C:\Windows\INF"
Remove-MpPreference -ExclusionPath "C:\Recovery\OEM"
Remove-MpPreference -ExclusionPath "C:\Program Files"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
Remove-MpPreference -ExclusionPath "C:\Users\eizzi\AppData\Roaming"
Remove-MpPreference -ExclusionPath "C:\Users\eizzi\AppData\Local"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKU\S-1-5-21-1806741836-2610965512-956946583-1001\...\StartupApproved\Run: => "java.exe"
HKU\S-1-5-21-1806741836-2610965512-956946583-1001\...\StartupApproved\Run: => "phtzzulg.5pf"
HKU\S-1-5-21-1806741836-2610965512-956946583-1001\...\StartupApproved\Run: => "spoolsv"
FirewallRules: [{DC588F2F-CA31-4480-927D-FA0DE8C57328}] => (Allow) C:\Windows\Media\mppr.exe => Нет файла
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q C:\Windows\Temp\*.* >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Вставлять код никуда не нужно, программа возьмёт его из буфера обмена. Будет создан лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[YukioSB]

asdasd

[Vvvyg]

Исходная проблема решена, как понимаю.

Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Обновите: есть исправления, связанные с безопасностью:

VMware Workstation v.17.5.0 Внимание! Скачать обновления
WinRAR 7.11 (64-bit) v.7.11.0 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
Google Chrome v.143.0.7499.147 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.