Тормозит комп, похоже вирусы

[sprofxx]

Тормозит комп, система 64-разрядная.

[Info_bot]

Уважаемый(ая) sprofxx, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_8\extinst.exe','');
 QuarantineFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_8\config.json','');
 QuarantineFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_1\extinst.exe','');
 QuarantineFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_1\config.json','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat','');
 QuarantineFile('C:\Users\Андрей\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\Андрей\AppData\Local\Kometa\Application\kometa.exe','');
 QuarantineFile('C:\Users\Андрей\AppData\Local\3AD1F280-1427844269-11B2-8000-A2A923E4D9C9\bnsyD4DF.exe','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\3AD1F280-1427829768-11B2-8000-A2A923E4D9C9\jnsh9368.tmp','');
 QuarantineFile('C:\Users\Андрей\AppData\Local\3AD1F280-1427893175-11B2-8000-A2A923E4D9C9\insx1A66.tmp','');
 QuarantineFile('C:\Users\Андрей\AppData\Roaming\3AD1F280-1427829768-11B2-8000-A2A923E4D9C9\nsn618A.tmpfs','');
 SetServiceStart('wolenory', 4);
 DeleteService('wolenory');
 SetServiceStart('VCL', 4);
 DeleteService('VCL');
 SetServiceStart('puroquby', 4);
 DeleteService('puroquby');
 SetServiceStart('mitexune', 4);
 DeleteService('mitexune');
 QuarantineFile('C:\Windows\system32\VCL.dll','');
 QuarantineFile('C:\Program Files (x86)\IGS\VCCert.dll','');
 TerminateProcessByName('c:\program files (x86)\igs\vcl.exe');
 QuarantineFile('c:\program files (x86)\igs\vcl.exe','');
 TerminateProcessByName('c:\users\Андрей\appdata\roaming\3ad1f280-1427829768-11b2-8000-a2a923e4d9c9\nsn618a.tmpfs');
 QuarantineFile('c:\users\Андрей\appdata\roaming\3ad1f280-1427829768-11b2-8000-a2a923e4d9c9\nsn618a.tmpfs','');
 TerminateProcessByName('c:\users\Андрей\appdata\local\3ad1f280-1427893175-11b2-8000-a2a923e4d9c9\insx1a66.tmp');
 QuarantineFile('c:\users\Андрей\appdata\local\3ad1f280-1427893175-11b2-8000-a2a923e4d9c9\insx1a66.tmp','');
 DeleteFile('c:\users\Андрей\appdata\local\3ad1f280-1427893175-11b2-8000-a2a923e4d9c9\insx1a66.tmp','32');
 DeleteFile('c:\users\Андрей\appdata\roaming\3ad1f280-1427829768-11b2-8000-a2a923e4d9c9\nsn618a.tmpfs','32');
 DeleteFile('c:\program files (x86)\igs\vcl.exe','32');
 DeleteFile('C:\Program Files (x86)\IGS\VCCert.dll','32');
 DeleteFile('C:\Windows\system32\VCL.dll','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\3AD1F280-1427829768-11B2-8000-A2A923E4D9C9\nsn618A.tmpfs','32');
 DeleteFile('C:\Users\Андрей\AppData\Local\3AD1F280-1427893175-11B2-8000-A2A923E4D9C9\insx1A66.tmp','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\3AD1F280-1427829768-11B2-8000-A2A923E4D9C9\jnsh9368.tmp','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','WinCheck');
 DeleteFile('C:\Users\Андрей\AppData\Local\3AD1F280-1427844269-11B2-8000-A2A923E4D9C9\bnsyD4DF.exe','32');
 DeleteFile('C:\Users\Андрей\AppData\Local\Kometa\Application\kometa.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','KometaAutoLaunch_C02DC91CDCE2833BA4B373DB1439DD19');
 DeleteFile('C:\Users\Андрей\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Users\Андрей\AppData\Roaming\Browsers\exe.erolpxei.bat','32');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_1\config.json','32');
 DeleteFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_1\extinst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_1','64');
 DeleteFile('C:\Windows\system32\Tasks\ExtensionInstallerX_8','64');
 DeleteFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_8\config.json','32');
 DeleteFile('C:\Users\Андрей\local settings\application data\ExtensionInstaller_8\extinst.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(15); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Сделайте новые логи по правилам

[sprofxx]

Выполнил сначала скрипт с путями кривыми, вместо "Андрей" в путях были вопросы "??????". Понял что что то не то, скопировал скрипт по-нормальному, там уже все пути ровные были и все выполнилось, но архив карантина не создался и я, так понимаю, файлы вредные и не удалились.

После перезагрузки от avz выполнил новые сканы компа и логи прикрепляю.
hijackthis.log
virusinfo_syscheck.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[sprofxx]

Выполнил.

[thyrex]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку, откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
HKU\S-1-5-21-3448826932-3308468459-1855572995-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
HKU\S-1-5-21-3448826932-3308468459-1855572995-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://ru.msn.com/?ocid=iehp
HKU\S-1-5-21-3448826932-3308468459-1855572995-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
HKU\S-1-5-21-3448826932-3308468459-1855572995-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&text={searchTerms}
HKU\S-1-5-21-3448826932-3308468459-1855572995-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> 0C389DCE7871A5B150A4C5EDB98015B1 URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> {6DDDAB1B-A087-46C9-9E43-67D1A222A97F} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX&ts=1427878869&type=default&q={searchTerms}
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} ->  No File
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
Toolbar: HKU\S-1-5-21-3448826932-3308468459-1855572995-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
FF SelectedSearchEngine: istartsurf
FF Homepage: hxxp://www.istartsurf.com/?type=hp&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
FF Extension: Quick Searcher - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\2heqi50c.default\Extensions\{d720d64d-c71a-4316-b59e-8a41b860178f} [2015-03-31]
FF Extension: PathMaxx 1.0.1 - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\2heqi50c.default\Extensions\{d6ff0018-b217-4f8d-8a24-ec47b6a950ab}.xpi [2015-04-01]
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.istartsurf.com/?type=sc&ts=1427878805&from=face&uid=HitachiXHTS543216L9A300_090227FB8200VCDT378AX
CHR Extension: (Quick Searcher) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-31]
CHR Extension: (CinemaLoad) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\ecijengmojcngjjgghkfkgbjoogmlngb [2014-01-21]
CHR Extension: (No Name) - C:\Users\Андрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\jaocgokledfmfebefgbeokdodbbdjhdd [2013-07-31]
2015-04-01 13:03 - 2015-04-01 13:03 - 00001049 _____ () C:\Users\Андрей\Desktop\AnyProtect.lnk
2015-04-01 13:03 - 2015-04-01 13:03 - 00000000 ____D () C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnyProtect PC Backup
2015-04-01 13:02 - 2015-04-01 13:03 - 00000000 ____D () C:\Program Files (x86)\AnyProtectEx
2015-04-01 13:02 - 2015-04-01 13:02 - 00000000 __SHD () C:\Users\Андрей\AppData\Roaming\AnyProtectEx
2015-04-01 13:00 - 2015-04-02 11:58 - 00000000 ____D () C:\Program Files (x86)\IGS
2015-04-01 13:00 - 2015-04-02 09:06 - 00008576 _____ () C:\Windows\SysWOW64\VCLOff.ini
2015-04-01 13:00 - 2015-04-02 09:06 - 00008576 _____ () C:\Windows\system32\VCLOff.ini
2015-04-01 13:00 - 2015-04-01 13:01 - 00000000 ____D () C:\Program Files (x86)\XTab
2015-04-01 13:00 - 2015-04-01 13:00 - 00000000 ____D () C:\Users\Андрей\AppData\Roaming\istartsurf
2015-04-01 12:47 - 2015-04-01 13:25 - 00000000 ____D () C:\Program Files (x86)\PathMaxx
2015-03-31 23:22 - 2015-04-01 18:27 - 00000000 ____D () C:\Users\Андрей\AppData\Roaming\3AD1F280-1427829768-11B2-8000-A2A923E4D9C9
2015-03-31 23:22 - 2015-03-31 23:22 - 00000000 ____D () C:\Users\Андрей\AppData\Roaming\VOPackage
2015-03-31 23:22 - 2015-03-31 23:22 - 00000000 ____D () C:\Users\Андрей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
2015-03-31 23:20 - 2015-04-02 12:04 - 00000000 ____D () C:\Users\Андрей\AppData\Roaming\Browsers
Task: {110FDB53-B827-42EB-830C-85337983E814} - \SmartWeb Upgrade Trigger Task No Task File <==== ATTENTION
Task: {5D552391-8E9E-4122-B84E-723B2483DF1B} - \ExtensionInstallerX_8 No Task File <==== ATTENTION
Task: {78723133-5854-4670-B717-6CDBBC1A4820} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask No Task File <==== ATTENTION
Task: {C11770B4-F616-45EA-B1C8-69933EB1A201} - \ExtensionInstallerX_1 No Task File <==== ATTENTION
Task: {DAF72F4B-7B36-4129-854A-6E1A181444AE} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline No Task File <==== ATTENTION
Reboot:

• Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[sprofxx]

готово.

[thyrex]

Что с проблемой?

[sprofxx]

Да ерунда это все, попробовал хром переустановить, все равно пишет профиль поврежден. Потом опять какая то зараза прилетела, ярлыки браузеров начали указывать на вирусню какую то, удалил все это и интернет эксплорер вообще никаким способом не запустить, остался без браузера какого либо. Переустановлю винду лучше.