Вирус Recycler [Trojan.Win32.Inject.hoed, Trojan.Win32.Yakes.dzkr, Backdoor.Win32.Androm.bmwy ]

После подключения к компьютеру телефона, появились папки $RECYCLE.BIN, система жутко тормозит.

Уважаемый(ая) [B]Аделя Ахмедова[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe','');
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('c:\docume~1\alluse~1\mscufi.exe','');
QuarantineFile('C:\RECYCLER\proedit.exe','');
QuarantineFile('C:\RECYCLER\mscinet.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\Identities\Umecew.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\libcurl-4.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\pthreadGC2.dll','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\zlib1.dll','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\windows\winsys.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\windows\winsys.exe','');
TerminateProcessByName('c:\docume~1\admin\locals~1\temp\dyp0u.exe');
QuarantineFile('c:\docume~1\admin\locals~1\temp\dyp0u.exe','');
DeleteFile('c:\docume~1\admin\locals~1\temp\dyp0u.exe','32');
DeleteFile('c:\docume~1\admin\locals~1\temp\windows\winsys.exe','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\zlib1.dll','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\pthreadGC2.dll','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\windows\libcurl-4.dll','32');
DeleteFile('C:\Documents and Settings\Admin\Application Data\Identities\Umecew.exe','32');
DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\Adobe\Reader_sl.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Adobe System Incorporated');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Update Service');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Umecew');
DeleteFile('C:\Program Files\Common Files\CreativeAudio\idjzkyfqm.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CreativeAudio');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12331901');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bja90');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','bja1190');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','1ne331');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eirebren33');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','s2361a121');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eproa112');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw411r9');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eirebdq00');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','xetcwow');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','asaba3tsh');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r19');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r4');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r7');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r6');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r5');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r3');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','antaw4r2');
DeleteFile('C:\RECYCLER\mscinet.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Security Firewall Manager');
DeleteFile('C:\RECYCLER\proedit.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Windows Remote Management');
DeleteFile('c:\docume~1\alluse~1\mscufi.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','62657');
DeleteFile('C:\WINDOWS\Tasks\At5.job','32');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\Dealply\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\Program Files\DealPlyLive\Update\DealPlyLive.exe','32');
DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job','32');
DeleteFile('C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9);
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Все сделала, карантин отправила вчера. Заранее спасибо)

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
end;
QuarantineFile('C:\Documents and Settings\Admin\Application Data\10.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\12.exe', 'MBAM: Spyware.Zbot.ED');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Spyware.Zbot.ED');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\c731200', 'MBAM: Trojan.Inject.ED');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\ewk76.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\JCGMZUE2\api9[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\JCGMZUE2\api[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W1LHWRDH\api8[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\All Users\mspcoz.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msaamsoi.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msalrq.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\msanwn.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msekfo.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msgpcpcog.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\mshauekd.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\msnaeaekk.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mspfha.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msqdldwel.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msruehh.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\mstexq.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mstjovbms.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msupcig.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msuqjwu.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mswuquuis.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\mswzuyiok.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\WINDOWS\system32\hidcon.exe', 'MBAM: Trojan.Dropped');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[url="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/url] все, [b]кроме[/b] [code]HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

D:\Games\James Camerons Avatar - The Game\Crack\rld-avtr.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Games\Left 4 Dead 2 RedBLACK\left4dead2\addons\Name_Enabler.dll (Malware.UPX.Mod) -> Действие не было предпринято.
D:\Образы игр\minecraft-v-1-3-2-_torrentino.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
D:\Образы игр\Phineas and Ferb New Inventions [PROPHET]\PROPHET\rld.dll (VirTool.Obfuscator) -> Действие не было предпринято.
D:\Образы игр\Новые игры от Alawar (12.07.13)\Activator Alawar\AlawarCrack.exe (PUP.Optional.CrackTool) -> Действие не было предпринято.
D:\Установочный soft\WebCamMax 7.5.7.8.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Установочный soft\download.PamelaSetup_Basic.exe (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
D:\Установочный soft\DTLite4454-0314.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\Activators\Windows 7 Loader v2.1.3 (Daz)\Windows Loader.exe (Hacktool.Agent) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator EN\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\KMS\miniKMS by Ivn78\mini-KMS Activator RU\mKMSAct.exe (PUP.Hacktool) -> Действие не было предпринято.
D:\Установочный soft\All activation 7\KMS\SuperMini_KMS\Keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.
D:\Установочный soft\WinRAR 4.20 [Rus]\Keygen.exe (PUP.RiskwareTool.CK) -> Действие не было предпринято.
D:\Установочный soft\minecraft\solar_apocalypse.exe (PUP.Optional.LoadMoney) -> Действие не было предпринято.
E:\Музыка\Минус\Отечественные\Пробы\10_Nero_7_0_8_2.rar (RiskWare.Tool.CK) -> Действие не было предпринято.
E:\Фотографии\Фотки\Книги\nerosoftware.rar (RiskWare.Tool.HCK) -> Действие не было предпринято.[/code]

Сделала полное сканирование снова, прикрепляю отчет, потому что обнаруженных объектов стало больше. Остальное все сделала, спасибо.

1) Запустите (двойным кликом) [CODE]C:\Documents and Settings\Admin\Главное меню\Программы\DealPly\Uninstall DealPly.lnk[/CODE]

2)) [LIST][*]Скачайте [B][URL="http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Windows Vista/Seven[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[R0].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

3) Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Documents and Settings\Admin\Application Data\10.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\12.exe', 'MBAM: Spyware.Zbot.ED');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\14.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\16.exe', 'MBAM: Spyware.Zbot.ED');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\c731200', 'MBAM: Trojan.Inject.ED');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\W1LHWRDH\api8[1].gif', 'MBAM: Extension.Mismatch');
QuarantineFile('C:\Documents and Settings\All Users\mspcoz.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msaamsoi.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msalrq.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\msanwn.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msekfo.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msgpcpcog.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\mshauekd.exe', 'MBAM: Trojan.Agent.ED');
QuarantineFile('C:\Documents and Settings\All Users\msnaeaekk.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mspfha.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\msqdldwel.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\msruehh.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('C:\Documents and Settings\All Users\mstexq.exe', 'MBAM: Trojan.Zbot');
QuarantineFile('C:\Documents and Settings\All Users\mstjovbms.exe', 'MBAM: Spyware.ZeuS');
QuarantineFile('D:\$RECYCLE.BIN\S-1-5-21-345467865-2119619654-1484679130-1000\$RUD1DS0.exe', 'MBAM: Trojan.VKHosts');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\DealPlyLive\Update\Log\DealPlyLive.log', 'MBAM: PUP.Optional.DealPly.A');
QuarantineFile('C:\Documents and Settings\Admin\Application Data\PriceGong\Data\c.txt', 'MBAM: PUP.Optional.PriceGong.A');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mphpbdjcljebbcnfopfngmfdackbbdgf\3.5.0.0_0\images\icon48.png', 'MBAM: PUP.Optional.DealPly.A');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\PriceGong\', '*', true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\PriceGong\',' ');
DeleteFile('C:\Documents and Settings\Admin\Application Data\10.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\12.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\14.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\16.exe');
DeleteFile('C:\Documents and Settings\Admin\Application Data\c731200');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\m3oe5.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temp\ewk76.exe');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\5IMEAU47\api1[1].gif');
DeleteFile('C:\Documents and Settings\All Users\mspcoz.exe');
DeleteFile('C:\Documents and Settings\All Users\msaamsoi.exe');
DeleteFile('C:\Documents and Settings\All Users\msalrq.exe');
DeleteFile('C:\Documents and Settings\All Users\msanwn.exe');
DeleteFile('C:\Documents and Settings\All Users\msekfo.exe');
DeleteFile('C:\Documents and Settings\All Users\msgpcpcog.exe');
DeleteFile('C:\Documents and Settings\All Users\mshauekd.exe');
DeleteFile('C:\Documents and Settings\All Users\msnaeaekk.exe');
DeleteFile('C:\Documents and Settings\All Users\mspfha.exe');
DeleteFile('C:\Documents and Settings\All Users\msqdldwel.exe');
DeleteFile('C:\Documents and Settings\All Users\msruehh.exe');
DeleteFile('C:\Documents and Settings\All Users\mstexq.exe');
DeleteFile('C:\Documents and Settings\All Users\mstjovbms.exe');
DeleteFile('D:\$RECYCLE.BIN\S-1-5-21-345467865-2119619654-1484679130-1000\$RUD1DS0.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

[b]После перезагрузки:[/b]
- Выполните в АВЗ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

4) [url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url] только программу скачайте [url=http://yadi.sk/d/SWV-neIQAxrZ5]отсюда[/url]

Сделала все, только DealPly не удаляется, по ссылке ярлык. Я его давно удалила.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.81.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
breg

delall %SystemRoot%\TEMP\141FE191BC.SYS
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF
; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF
bl C5B9B01391BA5CABF3540B62933F51E8 150016
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\W1LHWRDH\API8[1].GIF
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF
; C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF
bl 4DAF32AF29C8BC25DC9BB2C70519C1FC 631296
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API[1].GIF
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\JCGMZUE2\API9[1].GIF
delref F:\CHECKVER.OCX
delall %SystemDrive%\RECYCLER\WPNEDIT.EXE
czoo
restart[/CODE]

сделайте новый образ автозапуска.

Сделала.

что с проблемой?

Вроде проблема решена, система не тормозит.
Спасибо огромное за помощь!!! :D:D:D

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]263[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\admin\application data\c731200 - [B]Trojan.Win32.Inject.hkxr[/B] ( BitDefender: Trojan.GenericKD.1543065, AVAST4: Win32:Downloader-UYL [Trj] )[*] c:\documents and settings\admin\application data\identities\umecew.exe - [B]Trojan.Win32.Inject.hkxr[/B] ( BitDefender: Trojan.GenericKD.1543065, AVAST4: Win32:Downloader-UYL [Trj] )[*] c:\documents and settings\admin\application data\10.exe - [B]Backdoor.Win32.Azbreg.xzx[/B] ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\admin\application data\12.exe - [B]Trojan-Proxy.Win32.Lethic.blh[/B] ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )[*] c:\documents and settings\admin\application data\14.exe - [B]Backdoor.Win32.Azbreg.xzx[/B] ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\admin\application data\16.exe - [B]Trojan-Proxy.Win32.Lethic.blh[/B] ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )[*] c:\documents and settings\admin\local settings\temp\ewk76.exe - [B]Trojan-Spy.Win32.Zbot.rfig[/B] ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\admin\local settings\temp\m3oe5.exe - [B]Backdoor.Win32.Azbreg.yim[/B] ( AVAST4: Win32:Inject-BFX [Trj] )[*] c:\documents and settings\admin\local settings\temporary internet files\content.ie5\jcgmzue2\api[1].gif - [B]Trojan-Spy.Win32.Zbot.rfig[/B] ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\admin\local settings\temporary internet files\content.ie5\jcgmzue2\api9[1].gif - [B]Trojan.Win32.Inject.hoed[/B] ( BitDefender: Gen:Variant.Hiloti.10, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\admin\local settings\temporary internet files\content.ie5\w1lhwrdh\api8[1].gif - [B]Trojan.Win32.Inject.hoed[/B] ( BitDefender: Gen:Variant.Hiloti.10, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\admin\local settings\temporary internet files\content.ie5\5imeau47\api1[1].gif - [B]Backdoor.Win32.Azbreg.yim[/B] ( AVAST4: Win32:Inject-BFX [Trj] )[*] c:\documents and settings\all users\msaamsoi.exe - [B]Trojan.Win32.Yakes.dzkr[/B] ( BitDefender: Gen:Variant.Zusy.82368, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msalrq.exe - [B]Backdoor.Win32.Androm.bmwy[/B] ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msanwn.exe - [B]Backdoor.Win32.Androm.bmtm[/B] ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\all users\msekfo.exe - [B]Backdoor.Win32.Androm.bmlx[/B] ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msgpcpcog.exe - [B]Backdoor.Win32.Androm.bmwy[/B] ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\mshauekd.exe - [B]Backdoor.Win32.Androm.bmwy[/B] ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msnaeaekk.exe - [B]Backdoor.Win32.Androm.bmtm[/B] ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\all users\mspcoz.exe - [B]Backdoor.Win32.Androm.bmtm[/B] ( BitDefender: Gen:Variant.Kazy.333182, AVAST4: Win32:Malware-gen )[*] c:\documents and settings\all users\mspfha.exe - [B]Trojan.Win32.Yakes.dzlx[/B] ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msqdldwel.exe - [B]Backdoor.Win32.Androm.bmlx[/B] ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msruehh.exe - [B]Backdoor.Win32.Androm.bmlx[/B] ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\mstexq.exe - [B]Trojan.Win32.Yakes.dzlx[/B] ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\mstjovbms.exe - [B]Trojan.Win32.Yakes.dyzm[/B] ( BitDefender: Trojan.GenericKD.1535187, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msupcig.exe - [B]Backdoor.Win32.Androm.bmlx[/B] ( BitDefender: Trojan.GenericKD.1522804, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\msuqjwu.exe - [B]Trojan.Win32.Yakes.dzlx[/B] ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\mswuquuis.exe - [B]Backdoor.Win32.Androm.bmwy[/B] ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\documents and settings\all users\mswzuyiok.exe - [B]Backdoor.Win32.Androm.bmwy[/B] ( BitDefender: Gen:Variant.Zusy.81865, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\docume~1\admin\locals~1\temp\adobe\reader_sl.exe - [B]Trojan-Spy.Win32.Zbot.rmay[/B] ( BitDefender: Trojan.GenericKD.1566834, AVAST4: Win32:Zbot-SPP [Trj] )[*] c:\docume~1\admin\locals~1\temp\windows\winsys.exe - [B]Trojan-Spy.Win32.Zbot.rfig[/B] ( DrWEB: Trojan.Packed.25362, BitDefender: Trojan.GenericKD.1485103, AVAST4: Win32:Malware-gen )[*] c:\docume~1\alluse~1\mscufi.exe - [B]Trojan.Win32.Yakes.dzlx[/B] ( BitDefender: Trojan.GenericKD.1563598, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\recycler\mscinet.exe - [B]Backdoor.Win32.Azbreg.yim[/B] ( AVAST4: Win32:Inject-BFX [Trj] )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-10967196\1ne331.exe - [B]Backdoor.Win32.Azbreg.xzx[/B] ( DrWEB: Win32.HLLW.Autoruner1.40792, BitDefender: Trojan.GenericKD.1500479, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1189896\bj1a190.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1189897646\bja90.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-12313896\1341901.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-12653311\eproa121.exe - [B]Trojan-Proxy.Win32.Lethic.bnf[/B] ( DrWEB: Trojan.Inject1.27909, BitDefender: Trojan.GenericKD.1505941, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-1455986\s2361a1.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-332250\eirebren33.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-3333110\eirebdq00.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-5618147819\atnxw11a9.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-5681\atnxwa1.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-56812\atnxwa2.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-56813\atnxwa3.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-56814\atnxwa4.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Agent-ASUC [Trj] )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-568145\atnxwa5.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-568146\atnxwa6.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-5681477\atnxwa7.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-839714475\asaba3tsh.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( DrWEB: BackDoor.Gurl.2, BitDefender: Trojan.Generic.KD.914347, AVAST4: Win32:Malware-gen )[*] c:\recycler\s-1-5-21-0243556031-888888379-781863308-897fewj\xetcwow.exe - [B]Trojan-Proxy.Win32.Lethic.blh[/B] ( DrWEB: Win32.HLLW.Autoruner1.30405, BitDefender: Trojan.GenericKD.1429034, AVAST4: Win32:Inject-BAI [Trj] )[*] d:\$recycle.bin\s-1-5-21-345467865-2119619654-1484679130-1000\$rud1ds0.exe - [B]Trojan.Win32.VkHost.aeys[/B] ( BitDefender: Gen:Variant.Graftor.35679, AVAST4: Win32:Malware-gen )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]