Поймал что-то странное и рекламу.

[Dooban]

Добрый день!

Обнаружил у себя на пк странную папку по адресу C:\ProgramData\Flock.
Заблокировал ей права доступа и на следующий день увидел вот такой адрес C:\ProgramData\Flock2.
Касперский определяет их как вирусы и в файле Flock(2).exe находи трояны, если удалить файлы касперским и/или удалить папку, то они восстанавливаются с перезагрузкой.
Браузер Flock я никогда не ставил.

Периодически открываются вкладки в хроме с "странными" новостями, как в песне "Конь людоед" группы "Кирпичи".

Прошу помочь.

[Info_bot]

Уважаемый(ая) Dooban, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Деинсталлируйте программы:

AdShield 1.0.0.0
Chedot
YoutubeDownloader

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 TerminateProcessByName('C:\ProgramData\Flock2\Flock2.exe');
 QuarantineFile('C:\Program Files (x86)\AdShield\updater.exe', '');
 QuarantineFile('C:\ProgramData\Flock2\Flock2.exe', '');
 DeleteFile('C:\Program Files (x86)\AdShield\updater.exe', '');
 DeleteFile('C:\ProgramData\Flock2\Flock2.exe', '');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\rempl\shell-usoscan', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-784732282-4158786857-316941376-1001', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-784732282-4158786857-316941376-1005', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\OneDrive Standalone Update Task-S-1-5-21-784732282-4158786857-316941376-500', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Opera scheduled assistant Autoupdate 1573933115', '64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Opera scheduled Autoupdate 1573933110', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "AdShield scheduled autoupdate" /F', 0, 15000, true);
 DeleteFileMask('c:\program files (x86)\adshield', '*', true);
 DeleteFileMask('c:\programdata\flock2', '*', true);
 DeleteDirectory('c:\program files (x86)\adshield');
 DeleteDirectory('c:\programdata\flock2');
 DelBHO('{C9423817-5DA7-494E-87E4-111F1B49A1FD}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Юзер\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Brave.lnk"    -> ["C:\Program Files\BraveSoftware\Brave-Browser\Application\brave.exe"]
>>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"     -> ["C:\Users\Yasha Ponchik\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VКDJ\D-J_VK.lnk"      -> ["C:\ProgramData\VКDJ\VКDJ.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VКDJ\Деинсталлировать D-J_VK.lnk"         -> ["C:\ProgramData\VКDJ\unins000.exe"]
>>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Chedot.lnk"    -> ["C:\Users\Yasha Ponchik\AppData\Local\Chedot\Application\chedot.exe"]
>>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chedot.lnk"       -> ["C:\Users\Yasha Ponchik\AppData\Local\Chedot\Application\chedot.exe"]
>>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc\Discord.lnk"    -> ["C:\Users\Yasha Ponchik\AppData\Local\Discord\Update.exe"  =>> --processStart Discord.exe]
>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{8D987987-6C09-4F8D-B0F0-2446AABC99ED}\PlayTasks\1\Удалить.lnk"      -> ["C:\Program Files (x86)\InstallShield Installation Information\{05DF82D5-A77E-47B6-9770-55A259B09744}\setup.exe"  =>> -runfromtemp -l0x0019 -removeonly]
>>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBeaver Community\Uninstall.lnk"      -> ["C:\Program Files\DBeaver\Uninstall.exe"]
>>>  "C:\Users\Yasha Ponchik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBeaver Community\DBeaver.lnk"        -> ["C:\Program Files\DBeaver\dbeaver.exe"  =>> -nl ru]

Отчёт о работе прикрепите.

Удалите полностью устаревшую версию Autologger (с одноимённой папкой).
Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.

[Dooban]

Добрый вечер!

Прошу уточнить по удалению программ.
Программа AdShield 1.0.0.0 удалилась нормально.
Программа Chedot указала на отсутствие файла setup.exe в папке, я зашёл по пути и не нашёл вообще эту папку, после чего удалил через панель управления и программа исчезла из раздела "Приложения и возможности"(Win 10)
При попытке удалить зловред YoutubeDownloader выдаёт ошибку (скриншот во вложении в архиве). Я прошёл по указанному пути и обнаружил, что папка пуста, удалил её сочетанием клавиш "Shift+Del", запустил ещё раз удаление через Панель управления. Но ошибка так и не ушла, программа числится на ПК. Может имеет смысл удалить данные из реестра если они там есть? Или может каким-нибудь скриптиком через PowerShell прежде, чем приступать к дальнейшим действиям, описанным в Вашем посте выше.

- - - - -Добавлено - - - - -

[QUOTE=Удалите полностью устаревшую версию Autologger (с одноимённой папкой).
Скачайте актуальную версию Autologger по первой ссылке из правил и сделайте новые логи.[/QUOTE]

Как не пытался скачать по ссылке с вашего сайта, у меня не открывается она, клацаю и ничего. Может попробовать через другой браузер? Я пробую через Google Chrome 88.0.4324.150 (Официальная сборка), (64 бит).
По этому скачал с вроде как "офф сайта" производителя.

- - - - -Добавлено - - - - -

Или может вы мне актуальный сюда можете добавить в архиве? или не знаю ссылкой на я.диск или гугл.диск с доступом по ссылке?

[Vvvyg]

Отсюда по любой ссылке пробуйте, в режиме инкогнито, или через Edge.
С остальным позже разберёмся.

[Dooban]

Сделал новый файл Autologger'a.

[Vvvyg]

А скрипт в AVZ выполняли? Лечение в ClearLink?

[Dooban]

А, нет, я думал сначала с удалением зловредов разберёмся. Хорошо. Сейчас запущу скрипты.

- - - - -Добавлено - - - - -

Загрузил файл карантина через форму загрузки в верху страницы.

[Vvvyg]

Так скрипт, в т. ч. и удаляет зловредов.

Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[Dooban]

Логи.

[Vvvyg]

А теперь перечитайте, что я просил в предыдущем сообщении и сделайте.

[Dooban]

Лог автозапуска от программы Universal Virus Sniffer вышел слишком большим для загрузки на Ваш сайт, разделенные 7z'пы он тоже не захотел принимать, так что что загрузил на диск https://disk.yandex.ru/d/0Q7lr-DNUdzilw.

- - - - -Добавлено - - - - -

Вроде все пункты выполнил.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\CHEDOT\APPLICATION\CHEDOT.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\SVC\DLLHOST.EXE
addsgn 98C41F2A476A4D9ACED5AEB102492F05258AFDBBD38F37D9B9C3C5BDD16E714C231693123E55E85E24370C874616487B84D4E97255AE91ADD47CA62FC77224F0 8 lsm.exe 7

chklst
delvir
deldir  %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\SVC
uidel  rundll32 "C:\Program Files (x86)\phqXUqlapMUn\XYvrlOq.dll",#1
deltmp
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ЯША ПОНЧИК\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\MICROSOFTLISTSYNC.EXE
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\CHEDOT\APPLICATION\81.0.4044.930\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLMENURIGHT.DLL
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delref %SystemDrive%\PROGRAM FILES\REMPL\REMSH.EXE
delref HTTP://SEARCH-CDN.NET/FIP/?Q={SEARCHTERMS}
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\20.169.0823.0008\FILESYNCSHELL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\FOXITREADERBROWSERAX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\USERS\YASHA PONCHIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MEEJMCFBIAPIJDFAADACKOBLFFMIDLIG\1.0.0.5_0\FIND-IT.PRO ПОИСК
delref %SystemDrive%\PROGRAMDATA\FLOCK2\FIND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\REMPL\DISKTOAST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.443\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\REMPL\STRGSNSADDONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.303\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.18\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\BMRKQOM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.443\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\FILTERS\OFFFILTX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.303\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\FILTERS\MSGFILT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\OFFICE15\OSFPROXY.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\FILTERS\ODFFILT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.18\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_ABA80042ACA9C3C9\NVENCMFTH264.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_ABA80042ACA9C3C9\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE 15\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE15\MSOXEV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
apply
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте лог Malwarebytes AdwCleaner.

[Dooban]

Загрузил файл карантина ZOO_2021-02-14_20-19-55.zip
Во вложении Логи UVZ (2021-02-14_20-19-56_log.rar) и AdwCleaner (AdwCleaner[S00].txt)

[Vvvyg]

Если Вы уже закрыли приложение, запустите повторное сканирование в Malwarebytes AdwCleaner, установите в пункте меню "Настройки" (Settings) дополнительно к установленным по умолчанию галочку "Сбросить политики Chrome (Reset Chrome Policies". В разделе "Предустановленные программы" ничего не отмечайте.
Затем нажмите Карантин (Quarantine) и по окончании очистки перезагрузите систему.

После перезагрузки в меню Файлы журналов программы будет лог очистки, файл AdwCleaner[C00].txt, прикрепите к своему следующему сообщению.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[Dooban]

Во вложении лог AdwCleaner.
Во вложение не влез лог от TDSSKiller, он вроде как ничего не обнаружил, но лог на всякий случай загрузил на я.диск, ссылка: https://disk.yandex.ru/d/dyeMapxsdYCKWg.

[Vvvyg]

Пока, что касается рекламы, сделайте и проверьте.
Очистите кеш и cookie:
в Хроме.
в Opera: Настройки -> Безопасность -> Очистить историю посещений. Поставьте галочки "Файлы сookie и прочие данные сайтов", "Кэшированные изображения и файлы" и выберите "Уничтожить указанные элементы за следующий период:" "За последнюю неделю".

Что касается "странного" - в системе очень живучий майнер. Есть возможность загрузиться с WinPE диска, Hiren's BootCD или что-то подобное?

Пока сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Dooban]

Рекламы вроде как больше нет, ничего не вылезает по крайней мере.

Могу зайти с Сергея Стрельца WinPE

При переходе по Вашей ссылке получаю ошибку "Error 1005".

- - - - -Добавлено - - - - -

скачал через тор, сейчас сделаю.

[Vvvyg]

Могу зайти с Сергея Стрельца WinPE

Скачайте утилиту Universal Virus Sniffer отсюда.
Загрузитесь с WinPE.
Запустите файл start.exe из папки с uVS, выберите каталог Windows для анализа автозапуска вашей системы на HDD/SSD. Внимание, по умолчанию выбрана системная папка с WinPE, что бесполезно для анализа.
Используйте диалог выбора каталога Windows (выбрать из дерева каталогов системную папку), затем - "Запустить под текущим пользователем".
В главном меню программы выберите пункт: Файл - сохранить полный образ автозапуска. По запросу программы сохраните файл образа автозапуска на съемный диск для последующей загрузки во вложения к теме. Файл образа автозапуска автоматически будет упакован в архив с расширением .7z, прикрепите его к своему следующему сообщению, либо выложите на облачном сервисе и дайте ссылку.

При переходе по Вашей ссылке получаю ошибку "Error 1005".

Пробуйте отсюда.

[Dooban]

https://disk.yandex.ru/d/NU8SoyDi4SBjXA
Опять не влезло, сохранил на я.диск, 2 файла в одном архиве.

- - - - -Добавлено - - - - -

Да, этот файл тоже вышел слишком велик https://disk.yandex.ru/d/yXuObcM56Fu1iA.