Вирус Recycler [Trojan.Win32.Inject.hoed, Trojan.Win32.Yakes.dzkr, Backdoor.Win32.Androm.bmwy ]

[Аделя Ахмедова]

После подключения к компьютеру телефона, появились папки $RECYCLE.BIN, система жутко тормозит.

[Info_bot]

Уважаемый(ая) Аделя Ахмедова, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('c:\docume~1\alluse~1\mscufi.exe','');
 QuarantineFile('C:\RECYCLER\proedit.exe','');
 QuarantineFile('C:\RECYCLER\mscinet.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\Identities\Umecew.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\libcurl-4.dll','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\pthreadGC2.dll','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\zlib1.dll','');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\windows\winsys.exe');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\windows\winsys.exe','');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\dyp0u.exe');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\dyp0u.exe','');
 DeleteFile('c:\docume~1\admin\locals~1\temp\dyp0u.exe','32');
 DeleteFile('c:\docume~1\admin\locals~1\temp\windows\winsys.exe','32');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\zlib1.dll','32');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\pthreadGC2.dll','32');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\libcurl-4.dll','32');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\Identities\Umecew.exe','32');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Umecew');
 DeleteFile('C:\Program Files\Common Files\CreativeAudio\idjzkyfqm.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12331901');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bja90');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bja1190');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1ne331');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eirebren33');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s2361a121');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eproa112');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw411r9');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eirebdq00');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe','32');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xetcwow');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','asaba3tsh');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r19');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r4');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r7');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r6');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r5');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r2');
 DeleteFile('C:\RECYCLER\mscinet.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security Firewall Manager');
 DeleteFile('C:\RECYCLER\proedit.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Remote Management');
 DeleteFile('c:\docume~1\alluse~1\mscufi.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','62657');
 DeleteFile('C:\WINDOWS\Tasks\At5.job','32');
 DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job','32');
 DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

[Аделя Ахмедова]

Все сделала, карантин отправила вчера. Заранее спасибо)

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\10.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\12.exe', 'MBAM: Spyware.Zbot.ED');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Spyware.Zbot.ED');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\c731200', 'MBAM: Trojan.Inject.ED');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\ewk76.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\JCGMZUE2\api9[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\JCGMZUE2\api[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W1LHWRDH\api8[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\All Users\mspcoz.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msaamsoi.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msalrq.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\msanwn.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msekfo.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msgpcpcog.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\mshauekd.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\msnaeaekk.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mspfha.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msqdldwel.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msruehh.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\mstexq.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mstjovbms.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msupcig.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msuqjwu.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mswuquuis.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\mswzuyiok.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\WINDOWS\system32\hidcon.exe', 'MBAM: Trojan.Dropped');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Удалите в МВАМ все, кроме

Код:

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

D:\Games\James Camerons Avatar - The Game\Crack\rld-avtr.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Games\Left 4 Dead 2 RedBLACK\left4dead2\addons\Name_Enabler.dll (Malware.UPX.Mod) -> Действие не было предпринято.
D:\Образы игр\minecraft-v-1-3-2-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
D:\Образы игр\Phineas and Ferb New Inventions [PROPHET]\PROPHET\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\Образы игр\Новые игры от Alawar (12.07.13)\Activator Alawar\AlawarCrack.exe (PUP.Optional.CrackTool) -> Действие не было предпринято.
D:\Установочный soft\WebCamMax 7.5.7.8.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Установочный soft\download.PamelaSetup_Basic.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
D:\Установочный soft\DTLite4454-0314.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\Activators\Windows 7 Loader v2.1.3 (Daz)\Windows Loader.exe (Hacktool.Agent) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator EN\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator RU\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\KMS\SuperMini_KMS\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Установочный soft\WinRAR 4.20 [Rus]\Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\Установочный soft\minecraft\solar_apocalypse.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
E:\Музыка\Минус\Отечественные\Пробы\10_Nero_7_0_8_2.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
E:\Фотографии\Фотки\Книги\nerosoftware.rar (RiskWare.Tool.HCK) -> Действие не было предпринято.

[Аделя Ахмедова]

Сделала полное сканирование снова, прикрепляю отчет, потому что обнаруженных объектов стало больше. Остальное все сделала, спасибо.

[regist]

1) Запустите (двойным кликом)

Код:

C:\Documents and Settings\Admin\Главное меню\Программы\DealPly\Uninstall DealPly.lnk

2))

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

3) Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true); 
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\10.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\12.exe', 'MBAM: Spyware.Zbot.ED');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Spyware.Zbot.ED');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\c731200', 'MBAM: Trojan.Inject.ED');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W1LHWRDH\api8[1].gif', 'MBAM: Extension.Mismatch');
 QuarantineFile('C:\Documents and Settings\All Users\mspcoz.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\All Users\msaamsoi.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\All Users\msalrq.exe', 'MBAM: Trojan.Agent.ED');
 QuarantineFile('C:\Documents and Settings\All Users\msanwn.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\All Users\msekfo.exe', 'MBAM: Spyware.ZeuS');
 QuarantineFile('C:\Documents and Settings\All Users\msgpcpcog.exe', 'MBAM: Trojan.Agent.ED');
 QuarantineFile('C:\Documents and Settings\All Users\mshauekd.exe', 'MBAM: Trojan.Agent.ED');
 QuarantineFile('C:\Documents and Settings\All Users\msnaeaekk.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\All Users\mspfha.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\All Users\msqdldwel.exe', 'MBAM: Spyware.ZeuS');
 QuarantineFile('C:\Documents and Settings\All Users\msruehh.exe', 'MBAM: Spyware.ZeuS');
 QuarantineFile('C:\Documents and Settings\All Users\mstexq.exe', 'MBAM: Trojan.Zbot');
 QuarantineFile('C:\Documents and Settings\All Users\mstjovbms.exe', 'MBAM: Spyware.ZeuS');
 QuarantineFile('D:\$RECYCLE.BIN\S-1-5-21-345467865-2119619654-1484679130-1000\$RUD1DS0.exe', 'MBAM: Trojan.VKHosts');
 QuarantineFile('C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update\Log\DealPlyLive.log', 'MBAM: PUP.Optional.DealPly.A');
 QuarantineFile('C:\Documents and Settings\Admin\Application Data\PriceGong\Data\c.txt', 'MBAM: PUP.Optional.PriceGong.A');
 QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mphpbdjcljebbcnfopfngmfdackbbdgf\3.5.0.0_0\images\icon48.png', 'MBAM: PUP.Optional.DealPly.A');
 DeleteFileMask('C:\Documents and Settings\Admin\Application Data\PriceGong\', '*', true);
 DeleteDirectory('C:\Documents and Settings\Admin\Application Data\PriceGong\',' ');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\10.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\12.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\16.exe');
 DeleteFile('C:\Documents and Settings\Admin\Application Data\c731200');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\ewk76.exe');
 DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif');
 DeleteFile('C:\Documents and Settings\All Users\mspcoz.exe');
 DeleteFile('C:\Documents and Settings\All Users\msaamsoi.exe');
 DeleteFile('C:\Documents and Settings\All Users\msalrq.exe');
 DeleteFile('C:\Documents and Settings\All Users\msanwn.exe');
 DeleteFile('C:\Documents and Settings\All Users\msekfo.exe');
 DeleteFile('C:\Documents and Settings\All Users\msgpcpcog.exe');
 DeleteFile('C:\Documents and Settings\All Users\mshauekd.exe');
 DeleteFile('C:\Documents and Settings\All Users\msnaeaekk.exe');
 DeleteFile('C:\Documents and Settings\All Users\mspfha.exe');
 DeleteFile('C:\Documents and Settings\All Users\msqdldwel.exe');
 DeleteFile('C:\Documents and Settings\All Users\msruehh.exe');
 DeleteFile('C:\Documents and Settings\All Users\mstexq.exe');
 DeleteFile('C:\Documents and Settings\All Users\mstjovbms.exe');
 DeleteFile('D:\$RECYCLE.BIN\S-1-5-21-345467865-2119619654-1484679130-1000\$RUD1DS0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

4) Сделайте полный образ автозапуска uVS только программу скачайте отсюда

[Аделя Ахмедова]

Сделала все, только DealPly не удаляется, по ссылке ярлык. Я его давно удалила.

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.81.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

delall %SystemRoot%\TEMP\141FE191BC.SYS
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF
; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF
bl C5B9B01391BA5CABF3540B62933F51E8 150016
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF
; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF
bl 4DAF32AF29C8BC25DC9BB2C70519C1FC 631296
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API9[1].GIF
delref F:\CHECKVER.OCX
delall %SystemDrive%\RECYCLER\WPNEDIT.EXE
czoo
restart

сделайте новый образ автозапуска.

[Аделя Ахмедова]

Сделала.

[regist]

что с проблемой?

[Аделя Ахмедова]

Вроде проблема решена, система не тормозит.
Спасибо огромное за помощь!!!

[regist]

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 263
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\documents and settings\admin\application data\c731200 - Trojan.Win32.Inject.hkxr ( BitDefender: Trojan.GenericKD.1543065, AVAST4: Win32:Downloader-UYL [Trj] )
  2. c:\documents and settings\admin\application data\identities\umecew.exe - Trojan.Win32.Inject.hkxr ( BitDefender: Trojan.GenericKD.1543065, AVAST4: Win32:Downloader-UYL [Trj] )
  3. c:\documents and settings\admin\application data\10.exe - Backdoor.Win32.Azbreg.xzx ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )
  4. c:\documents and settings\admin\application data\12.exe - Trojan-Proxy.Win32.Lethic.blh ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )
  5. c:\documents and settings\admin\application data\14.exe - Backdoor.Win32.Azbreg.xzx ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )
  6. c:\documents and settings\admin\application data\16.exe - Trojan-Proxy.Win32.Lethic.blh ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )
  7. c:\documents and settings\admin\local settings\temp\ewk76.exe - Trojan-Spy.Win32.Zbot.rfig ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )
  8. c:\documents and settings\admin\local settings\temp\m3oe5.exe - Backdoor.Win32.Azbreg.yim ( AVAST4: Win32:Inject-BFX [Trj] )
  9. c:\documents and settings\admin\local settings\temporary internet files\content.ie5\jcgmzue2\api[1].gif - Trojan-Spy.Win32.Zbot.rfig ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )
  10. c:\documents and settings\admin\local settings\temporary internet files\content.ie5\jcgmzue2\api9[1].gif - Trojan.Win32.Inject.hoed ( BitDefender: Gen:Variant.Hiloti.10, AVAST4: Win32:Malware-gen )
  11. c:\documents and settings\admin\local settings\temporary internet files\content.ie5\w1lhwrdh\api8[1].gif - Trojan.Win32.Inject.hoed ( BitDefender: Gen:Variant.Hiloti.10, AVAST4: Win32:Malware-gen )
  12. c:\documents and settings\admin\local settings\temporary internet files\content.ie5\5imeau47\api1[1].gif - Backdoor.Win32.Azbreg.yim ( AVAST4: Win32:Inject-BFX [Trj] )
  13. c:\documents and settings\all users\msaamsoi.exe - Trojan.Win32.Yakes.dzkr ( BitDefender: Gen:Variant.Zusy.82368, AVAST4: Win32:Dropper-gen [Drp] )
  14. c:\documents and settings\all users\msalrq.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
  15. c:\documents and settings\all users\msanwn.exe - Backdoor.Win32.Androm.bmtm ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )
  16. c:\documents and settings\all users\msekfo.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
  17. c:\documents and settings\all users\msgpcpcog.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
  18. c:\documents and settings\all users\mshauekd.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
  19. c:\documents and settings\all users\msnaeaekk.exe - Backdoor.Win32.Androm.bmtm ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )
  20. c:\documents and settings\all users\mspcoz.exe - Backdoor.Win32.Androm.bmtm ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )
  21. c:\documents and settings\all users\mspfha.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
  22. c:\documents and settings\all users\msqdldwel.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
  23. c:\documents and settings\all users\msruehh.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
  24. c:\documents and settings\all users\mstexq.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
  25. c:\documents and settings\all users\mstjovbms.exe - Trojan.Win32.Yakes.dyzm ( BitDefender: Trojan.GenericKD.1535187, AVAST4: Win32:Dropper-gen [Drp] )
  26. c:\documents and settings\all users\msupcig.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
  27. c:\documents and settings\all users\msuqjwu.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
  28. c:\documents and settings\all users\mswuquuis.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
  29. c:\documents and settings\all users\mswzuyiok.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
  30. c:\docume~1\admin\locals~1\temp\adobe\reader_sl.ex e - Trojan-Spy.Win32.Zbot.rmay ( BitDefender: Trojan.GenericKD.1566834, AVAST4: Win32:Zbot-SPP [Trj] )
  31. c:\docume~1\admin\locals~1\temp\windows\winsys.exe - Trojan-Spy.Win32.Zbot.rfig ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )
  32. c:\docume~1\alluse~1\mscufi.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
  33. c:\recycler\mscinet.exe - Backdoor.Win32.Azbreg.yim ( AVAST4: Win32:Inject-BFX [Trj] )
  34. c:\recycler\s-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe - Backdoor.Win32.Azbreg.xzx ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )
  35. c:\recycler\s-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  36. c:\recycler\s-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  37. c:\recycler\s-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  38. c:\recycler\s-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe - Trojan-Proxy.Win32.Lethic.bnf ( DrWEB: Trojan.Inject1.27909, BitDefender: Trojan.GenericKD.1505941, AVAST4: Win32:Malware-gen )
  39. c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  40. c:\recycler\s-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  41. c:\recycler\s-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  42. c:\recycler\s-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  43. c:\recycler\s-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  44. c:\recycler\s-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  45. c:\recycler\s-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  46. c:\recycler\s-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Agent-ASUC [Trj] )
  47. c:\recycler\s-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  48. c:\recycler\s-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  49. c:\recycler\s-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  50. c:\recycler\s-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
  51. c:\recycler\s-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe - Trojan-Proxy.Win32.Lethic.blh ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )
  52. d:\$recycle.bin\s-1-5-21-345467865-2119619654-1484679130-1000\$rud1ds0.exe - Trojan.Win32.VkHost.aeys ( BitDefender: Gen:Variant.Graftor.35679, AVAST4: Win32:Malware-gen )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !