После подключения к компьютеру телефона, появились папки $RECYCLE.BIN, система жутко тормозит.
После подключения к компьютеру телефона, появились папки $RECYCLE.BIN, система жутко тормозит.
Уважаемый(ая) Аделя Ахмедова, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe',''); QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE',''); QuarantineFile('c:\docume~1\alluse~1\mscufi.exe',''); QuarantineFile('C:\RECYCLER\proedit.exe',''); QuarantineFile('C:\RECYCLER\mscinet.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe',''); QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe',''); QuarantineFile('C:\Documents and Settings\Admin\Application Data\Identities\Umecew.exe',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\libcurl-4.dll',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\pthreadGC2.dll',''); QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\zlib1.dll',''); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\windows\winsys.exe'); QuarantineFile('c:\docume~1\admin\locals~1\temp\windows\winsys.exe',''); TerminateProcessByName('c:\docume~1\admin\locals~1\temp\dyp0u.exe'); QuarantineFile('c:\docume~1\admin\locals~1\temp\dyp0u.exe',''); DeleteFile('c:\docume~1\admin\locals~1\temp\dyp0u.exe','32'); DeleteFile('c:\docume~1\admin\locals~1\temp\windows\winsys.exe','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\zlib1.dll','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\pthreadGC2.dll','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\libcurl-4.dll','32'); DeleteFile('C:\Documents and Settings\Admin\Application Data\Identities\Umecew.exe','32'); DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Umecew'); DeleteFile('C:\Program Files\Common Files\CreativeAudio\idjzkyfqm.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12331901'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bja90'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bja1190'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1ne331'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eirebren33'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s2361a121'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eproa112'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw411r9'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eirebdq00'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe','32'); DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xetcwow'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','asaba3tsh'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r19'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r4'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r7'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r6'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r5'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r3'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r2'); DeleteFile('C:\RECYCLER\mscinet.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security Firewall Manager'); DeleteFile('C:\RECYCLER\proedit.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Remote Management'); DeleteFile('c:\docume~1\alluse~1\mscufi.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','62657'); DeleteFile('C:\WINDOWS\Tasks\At5.job','32'); DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE','32'); DeleteFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe','32'); DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job','32'); DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteREpair(9); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); RebootWindows(false); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все сделала, карантин отправила вчера. Заранее спасибо)
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(true); end; QuarantineFile('C:\Documents and Settings\Admin\Application Data\10.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\12.exe', 'MBAM: Spyware.Zbot.ED'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Spyware.Zbot.ED'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\c731200', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\ewk76.exe', 'MBAM: Trojan.Agent'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\JCGMZUE2\api9[1].gif', 'MBAM: Extension.Mismatch'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\JCGMZUE2\api[1].gif', 'MBAM: Extension.Mismatch'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W1LHWRDH\api8[1].gif', 'MBAM: Extension.Mismatch'); QuarantineFile('C:\Documents and Settings\All Users\mspcoz.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msaamsoi.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msalrq.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\Documents and Settings\All Users\msanwn.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msekfo.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\msgpcpcog.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\Documents and Settings\All Users\mshauekd.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\Documents and Settings\All Users\msnaeaekk.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\mspfha.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msqdldwel.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\msruehh.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\mstexq.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\mstjovbms.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\msupcig.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\msuqjwu.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\mswuquuis.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\Documents and Settings\All Users\mswzuyiok.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\WINDOWS\system32\hidcon.exe', 'MBAM: Trojan.Dropped'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Удалите в МВАМ все, кромеКод:HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. D:\Games\James Camerons Avatar - The Game\Crack\rld-avtr.rar (RiskWare.Tool.CK) -> Действие не было предпринято. D:\Games\Left 4 Dead 2 RedBLACK\left4dead2\addons\Name_Enabler.dll (Malware.UPX.Mod) -> Действие не было предпринято. D:\Образы игр\minecraft-v-1-3-2-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. D:\Образы игр\Phineas and Ferb New Inventions [PROPHET]\PROPHET\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято. D:\Образы игр\Новые игры от Alawar (12.07.13)\Activator Alawar\AlawarCrack.exe (PUP.Optional.CrackTool) -> Действие не было предпринято. D:\Установочный soft\WebCamMax 7.5.7.8.rar (RiskWare.Tool.CK) -> Действие не было предпринято. D:\Установочный soft\download.PamelaSetup_Basic.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято. D:\Установочный soft\DTLite4454-0314.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято. D:\Установочный soft\All activation 7\Activators\Windows 7 Loader v2.1.3 (Daz)\Windows Loader.exe (Hacktool.Agent) -> Действие не было предпринято. D:\Установочный soft\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator EN\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято. D:\Установочный soft\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator RU\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято. D:\Установочный soft\All activation 7\KMS\SuperMini_KMS\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято. D:\Установочный soft\WinRAR 4.20 [Rus]\Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято. D:\Установочный soft\minecraft\solar_apocalypse.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято. E:\Музыка\Минус\Отечественные\Пробы\10_Nero_7_0_8_2.rar (RiskWare.Tool.CK) -> Действие не было предпринято. E:\Фотографии\Фотки\Книги\nerosoftware.rar (RiskWare.Tool.HCK) -> Действие не было предпринято.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сделала полное сканирование снова, прикрепляю отчет, потому что обнаруженных объектов стало больше. Остальное все сделала, спасибо.
1) Запустите (двойным кликом)2))Код:C:\Documents and Settings\Admin\Главное меню\Программы\DealPly\Uninstall DealPly.lnk
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
3) Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Documents and Settings\Admin\Application Data\10.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\12.exe', 'MBAM: Spyware.Zbot.ED'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Spyware.Zbot.ED'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\c731200', 'MBAM: Trojan.Inject.ED'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W1LHWRDH\api8[1].gif', 'MBAM: Extension.Mismatch'); QuarantineFile('C:\Documents and Settings\All Users\mspcoz.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msaamsoi.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msalrq.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\Documents and Settings\All Users\msanwn.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msekfo.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\msgpcpcog.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\Documents and Settings\All Users\mshauekd.exe', 'MBAM: Trojan.Agent.ED'); QuarantineFile('C:\Documents and Settings\All Users\msnaeaekk.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\mspfha.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\msqdldwel.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\msruehh.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('C:\Documents and Settings\All Users\mstexq.exe', 'MBAM: Trojan.Zbot'); QuarantineFile('C:\Documents and Settings\All Users\mstjovbms.exe', 'MBAM: Spyware.ZeuS'); QuarantineFile('D:\$RECYCLE.BIN\S-1-5-21-345467865-2119619654-1484679130-1000\$RUD1DS0.exe', 'MBAM: Trojan.VKHosts'); QuarantineFile('C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update\Log\DealPlyLive.log', 'MBAM: PUP.Optional.DealPly.A'); QuarantineFile('C:\Documents and Settings\Admin\Application Data\PriceGong\Data\c.txt', 'MBAM: PUP.Optional.PriceGong.A'); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mphpbdjcljebbcnfopfngmfdackbbdgf\3.5.0.0_0\images\icon48.png', 'MBAM: PUP.Optional.DealPly.A'); DeleteFileMask('C:\Documents and Settings\Admin\Application Data\PriceGong\', '*', true); DeleteDirectory('C:\Documents and Settings\Admin\Application Data\PriceGong\',' '); DeleteFile('C:\Documents and Settings\Admin\Application Data\10.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\12.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\16.exe'); DeleteFile('C:\Documents and Settings\Admin\Application Data\c731200'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\ewk76.exe'); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif'); DeleteFile('C:\Documents and Settings\All Users\mspcoz.exe'); DeleteFile('C:\Documents and Settings\All Users\msaamsoi.exe'); DeleteFile('C:\Documents and Settings\All Users\msalrq.exe'); DeleteFile('C:\Documents and Settings\All Users\msanwn.exe'); DeleteFile('C:\Documents and Settings\All Users\msekfo.exe'); DeleteFile('C:\Documents and Settings\All Users\msgpcpcog.exe'); DeleteFile('C:\Documents and Settings\All Users\mshauekd.exe'); DeleteFile('C:\Documents and Settings\All Users\msnaeaekk.exe'); DeleteFile('C:\Documents and Settings\All Users\mspfha.exe'); DeleteFile('C:\Documents and Settings\All Users\msqdldwel.exe'); DeleteFile('C:\Documents and Settings\All Users\msruehh.exe'); DeleteFile('C:\Documents and Settings\All Users\mstexq.exe'); DeleteFile('C:\Documents and Settings\All Users\mstjovbms.exe'); DeleteFile('D:\$RECYCLE.BIN\S-1-5-21-345467865-2119619654-1484679130-1000\$RUD1DS0.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
4) Сделайте полный образ автозапуска uVS только программу скачайте отсюда
Сделала все, только DealPly не удаляется, по ссылке ярлык. Я его давно удалила.
Выполните скрипт в uVS и пришлите карантин
сделайте новый образ автозапуска.Код:;uVS v3.81.11 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE breg delall %SystemRoot%\TEMP\141FE191BC.SYS zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF ; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF bl C5B9B01391BA5CABF3540B62933F51E8 150016 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF ; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF bl 4DAF32AF29C8BC25DC9BB2C70519C1FC 631296 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API9[1].GIF delref F:\CHECKVER.OCX delall %SystemDrive%\RECYCLER\WPNEDIT.EXE czoo restart
Сделала.
Вроде проблема решена, система не тормозит.
Спасибо огромное за помощь!!!
MBAM деинсталируйте.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
Советы и рекомендации после лечения компьютера
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 263
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\admin\application data\c731200 - Trojan.Win32.Inject.hkxr ( BitDefender: Trojan.GenericKD.1543065, AVAST4: Win32:Downloader-UYL [Trj] )
- c:\documents and settings\admin\application data\identities\umecew.exe - Trojan.Win32.Inject.hkxr ( BitDefender: Trojan.GenericKD.1543065, AVAST4: Win32:Downloader-UYL [Trj] )
- c:\documents and settings\admin\application data\10.exe - Backdoor.Win32.Azbreg.xzx ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )
- c:\documents and settings\admin\application data\12.exe - Trojan-Proxy.Win32.Lethic.blh ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )
- c:\documents and settings\admin\application data\14.exe - Backdoor.Win32.Azbreg.xzx ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )
- c:\documents and settings\admin\application data\16.exe - Trojan-Proxy.Win32.Lethic.blh ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )
- c:\documents and settings\admin\local settings\temp\ewk76.exe - Trojan-Spy.Win32.Zbot.rfig ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )
- c:\documents and settings\admin\local settings\temp\m3oe5.exe - Backdoor.Win32.Azbreg.yim ( AVAST4: Win32:Inject-BFX [Trj] )
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\jcgmzue2\api[1].gif - Trojan-Spy.Win32.Zbot.rfig ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\jcgmzue2\api9[1].gif - Trojan.Win32.Inject.hoed ( BitDefender: Gen:Variant.Hiloti.10, AVAST4: Win32:Malware-gen )
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\w1lhwrdh\api8[1].gif - Trojan.Win32.Inject.hoed ( BitDefender: Gen:Variant.Hiloti.10, AVAST4: Win32:Malware-gen )
- c:\documents and settings\admin\local settings\temporary internet files\content.ie5\5imeau47\api1[1].gif - Backdoor.Win32.Azbreg.yim ( AVAST4: Win32:Inject-BFX [Trj] )
- c:\documents and settings\all users\msaamsoi.exe - Trojan.Win32.Yakes.dzkr ( BitDefender: Gen:Variant.Zusy.82368, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msalrq.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msanwn.exe - Backdoor.Win32.Androm.bmtm ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )
- c:\documents and settings\all users\msekfo.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msgpcpcog.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\mshauekd.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msnaeaekk.exe - Backdoor.Win32.Androm.bmtm ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )
- c:\documents and settings\all users\mspcoz.exe - Backdoor.Win32.Androm.bmtm ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )
- c:\documents and settings\all users\mspfha.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msqdldwel.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msruehh.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\mstexq.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\mstjovbms.exe - Trojan.Win32.Yakes.dyzm ( BitDefender: Trojan.GenericKD.1535187, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msupcig.exe - Backdoor.Win32.Androm.bmlx ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\msuqjwu.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\mswuquuis.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
- c:\documents and settings\all users\mswzuyiok.exe - Backdoor.Win32.Androm.bmwy ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )
- c:\docume~1\admin\locals~1\temp\adobe\reader_sl.ex e - Trojan-Spy.Win32.Zbot.rmay ( BitDefender: Trojan.GenericKD.1566834, AVAST4: Win32:Zbot-SPP [Trj] )
- c:\docume~1\admin\locals~1\temp\windows\winsys.exe - Trojan-Spy.Win32.Zbot.rfig ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )
- c:\docume~1\alluse~1\mscufi.exe - Trojan.Win32.Yakes.dzlx ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )
- c:\recycler\mscinet.exe - Backdoor.Win32.Azbreg.yim ( AVAST4: Win32:Inject-BFX [Trj] )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe - Backdoor.Win32.Azbreg.xzx ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe - Trojan-Proxy.Win32.Lethic.bnf ( DrWEB: Trojan.Inject1.27909, BitDefender: Trojan.GenericKD.1505941, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Agent-ASUC [Trj] )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe - HEUR:Trojan.Win32.Generic ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )
- c:\recycler\s-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe - Trojan-Proxy.Win32.Lethic.blh ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )
- d:\$recycle.bin\s-1-5-21-345467865-2119619654-1484679130-1000\$rud1ds0.exe - Trojan.Win32.VkHost.aeys ( BitDefender: Gen:Variant.Graftor.35679, AVAST4: Win32:Malware-gen )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) Аделя Ахмедова, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.