Здравствуйте!
Сделал проверку Cureit - нашёл много инфицированных файлов.
Компьютер сильно подтормаживает.
Посмотрите логи, пожалуйста.
Спасибо за помощь!
Printable View
Здравствуйте!
Сделал проверку Cureit - нашёл много инфицированных файлов.
Компьютер сильно подтормаживает.
Посмотрите логи, пожалуйста.
Спасибо за помощь!
Уважаемый(ая) [B]Маслов Вадим[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '');
QuarantineFile('C:\Program Files\asIEteugZHiltZXSzxR\gVwRdbz.dll', '');
QuarantineFile('C:\Program Files\DqiuzuGOKcYJC\WKsRSvv.dll', '');
QuarantineFile('C:\Program Files\MzlvulvGoUlU2\aGGltdZCwZzfV.dll', '');
QuarantineFile('C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe', '');
QuarantineFile('C:\Program Files\V-bates\PrefHelper.exe', '');
QuarantineFile('C:\Program Files\VKontOdnBlockU\WkbjfPY.dll', '');
QuarantineFile('C:\Program Files\VmOZMOGDU\GldCZf.dll', '');
QuarantineFile('C:\Users\119D~1\AppData\Roaming\ADOBEC~1\admres.exe', '');
QuarantineFile('C:\Users\119D~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE', '');
QuarantineFile('C:\Users\119D~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE', '');
QuarantineFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeter.exe', '');
QuarantineFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterd.exe', '');
QuarantineFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterw.exe', '');
QuarantineFile('C:\Users\Вадик\AppData\Roaming\0A1G2U0P1C1F2Z1P1R2Z\AnyProtect Packages\uninstaller.exe', '');
QuarantineFile('C:\Users\Вадик\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '');
QuarantineFile('C:\Users\Вадик\AppData\Roaming\AdobeControlUtil\admres.exe', '');
QuarantineFileF('c:\program files\pricemeterliveupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('c:\progra~1\suppor~1\suppor~1.dll', '32');
DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '32');
DeleteFile('C:\Program Files\asIEteugZHiltZXSzxR\gVwRdbz.dll', '32');
DeleteFile('C:\Program Files\DqiuzuGOKcYJC\WKsRSvv.dll', '32');
DeleteFile('C:\Program Files\MzlvulvGoUlU2\aGGltdZCwZzfV.dll', '32');
DeleteFile('C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe', '32');
DeleteFile('C:\Program Files\V-bates\PrefHelper.exe', '32');
DeleteFile('C:\Program Files\VKontOdnBlockU\WkbjfPY.dll', '32');
DeleteFile('C:\Program Files\VmOZMOGDU\GldCZf.dll', '32');
DeleteFile('C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{241C0CCD-05C6-43C6-9B38-314FEA88B974}\MpKsl7559a208.sys', '32');
DeleteFile('C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{241C0CCD-05C6-43C6-9B38-314FEA88B974}\MpKslaa68cea7.sys', '32');
DeleteFile('C:\Users\119D~1\AppData\Roaming\ADOBEC~1\admres.exe', '32');
DeleteFile('C:\Users\119D~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE', '32');
DeleteFile('C:\Users\119D~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE', '32');
DeleteFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeter.exe', '32');
DeleteFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterd.exe', '32');
DeleteFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterw.exe', '32');
DeleteFile('C:\Users\Вадик\AppData\Roaming\0A1G2U0P1C1F2Z1P1R2Z\AnyProtect Packages\uninstaller.exe', '32');
DeleteFile('C:\Users\Вадик\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '32');
DeleteFile('C:\Users\Вадик\AppData\Roaming\AdobeControlUtil\admres.exe', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '32');
DeleteFile('C:\Windows\Tasks\Dealply.job', '32');
DeleteFile('C:\Windows\Tasks\FF Watcher {7CB8896B-6372-40B9-B745-BDDFC4287B91}.job', '32');
DeleteFile('C:\Windows\Tasks\FF20459C-DA6E-41A7-80BC-8F4FEFD9C575.job', '32');
DeleteFile('C:\Windows\Tasks\jvGRnMQUFINRiXTpoRC.job', '32');
DeleteFile('C:\Windows\Tasks\NtALBiAWXMJTkoiKQ.job', '32');
DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job', '32');
DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job', '32');
DeleteFile('C:\Windows\Tasks\PriceMeterUpdater.job', '32');
DeleteFile('C:\Windows\Tasks\uOTJHowqzXJiALT.job', '32');
DeleteFile('uOTJHowqzXJiALT.job', '32');
ExecuteFile('schtasks.exe', '/delete /TN "{619068FA-5D4B-4633-9B53-139A531BF23D}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{7FE1334D-ABBD-4408-8EE5-1E0A25FEEF20}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "AdobeControlUtil" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Dealply" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "FF Watcher {7CB8896B-6372-40B9-B745-BDDFC4287B91}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "FF20459C-DA6E-41A7-80BC-8F4FEFD9C575" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "jvGRnMQUFINRiXTpoRC" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "jvGRnMQUFINRiXTpoRC2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "NtALBiAWXMJTkoiKQ" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "NtALBiAWXMJTkoiKQ2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "pricemeterdownloader" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterLiveUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterLiveUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "pricemetertask" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterUpdater" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "pricemeterwatcher" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "tfxNQjIjAdVwIC" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "uOTJHowqzXJiALT" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "uOTJHowqzXJiALT2" /F', 0, 15000, true);
DeleteFileMask('c:\program files\anyprotectex', '*', true);
DeleteFileMask('c:\program files\asieteugzhiltzxszxr', '*', true);
DeleteFileMask('c:\program files\dqiuzugokcyjc', '*', true);
DeleteFileMask('c:\program files\mzlvulvgoulu2', '*', true);
DeleteFileMask('c:\program files\pricemeterliveupdate', '*', true);
DeleteFileMask('c:\program files\v-bates', '*', true);
DeleteFileMask('c:\program files\vkontodnblocku', '*', true);
DeleteFileMask('c:\program files\vmozmogdu', '*', true);
DeleteFileMask('c:\programdata\microsoft\windows defender', '*', true);
DeleteFileMask('c:\users\119d~1\appdata\roaming\dealply\update~1', '*', true);
DeleteFileMask('c:\users\119d~1\appdata\roaming\pricem~1\update~1', '*', true);
DeleteFileMask('c:\users\вадик\appdata\local\pricemeter', '*', true);
DeleteFileMask('c:\users\вадик\appdata\roaming\0a1g2u0p1c1f2z1p1r2z', '*', true);
DeleteFileMask('c:\users\вадик\appdata\roaming\0c1i1l1r1j0m1p0i1g', '*', true);
DeleteDirectory('c:\program files\anyprotectex');
DeleteDirectory('c:\program files\asieteugzhiltzxszxr');
DeleteDirectory('c:\program files\dqiuzugokcyjc');
DeleteDirectory('c:\program files\mzlvulvgoulu2');
DeleteDirectory('c:\program files\pricemeterliveupdate');
DeleteDirectory('c:\program files\v-bates');
DeleteDirectory('c:\program files\vkontodnblocku');
DeleteDirectory('c:\program files\vmozmogdu');
DeleteDirectory('c:\programdata\microsoft\windows defender');
DeleteDirectory('c:\users\119d~1\appdata\roaming\dealply\update~1');
DeleteDirectory('c:\users\119d~1\appdata\roaming\pricem~1\update~1');
DeleteDirectory('c:\users\вадик\appdata\local\pricemeter');
DeleteDirectory('c:\users\вадик\appdata\roaming\0a1g2u0p1c1f2z1p1r2z');
DeleteDirectory('c:\users\вадик\appdata\roaming\0c1i1l1r1j0m1p0i1g');
RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3593059732-2646408772-1846979983-1002\Software\Microsoft\Windows\CurrentVersion\Run', 'PriceMeterW');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].
Отправляю запрошенные логи
Я просил НОВЫЙ лог Autologger. И Ok после запуска Autologger нажимать с зажатой клавишей Shift. Теперь уже не надо.
[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\asieteugzhiltzxszxr\gvwrdbz.dll - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B] ( BitDefender: Gen:Variant.Barys.2132 )[*] c:\program files\vmozmogdu\gldczf.dll - [B]not-a-virus:HEUR:AdWare.Win32.Generic[/B][/LIST][/LIST]