Поймал подарочек.

Ещё и кодировка сбилась при посте (заголовок не могу исправить)

Поймал троян. В безопасном режиме с помощью adwcleaner удаляю его, но при обычной загрузке он снова воскресает и съедает все ресурсы.

Уважаемый(ая) [B]Serjic[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Логи нужны из обычного, а не безопасного, режима

Пробую в обычном режиме, пишет что включен AVZPM и отправляет в перезагрузку. После перезагрузки снова пишет что включен AVZPM и снова в перезагрузку. И так по кругу.

Пофиксите в HiJack из папки Autologger
[CODE]O3 - HKCU\..\Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} - (no file)
O3 - HKCU\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O3 - HKLM\..\Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O4 - HKLM\..\Run: [collect] = C:\Collect.exe -s:192.168.5.104:9997
O4 - MSConfig\startupreg: AdobeUpdater [command] = C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: Firewall auto setup [command] = C:\Documents and Settings\user\Local Settings\Temp\winlogon.exe (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: MicrosoftUpdate [command] = C:\Documents and Settings\user\Local Settings\Temp\44.tmp.exe (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: YI9B2F0FYEXG0G0HB [command] = C:\systemhost\24FC2AE3EA8.exe (file missing) (HKCU) (2015/11/23)
O4 - MSConfig\startupreg: c: [command] = (no file) (2010/11/20)
[/CODE]Перезагрузите компьютер и пробуйте сделать логи в обычном режиме

[QUOTE=thyrex;1484988]... Перезагрузите компьютер и пробуйте сделать логи в обычном режиме[/QUOTE]

[COLOR=#333333]Мертво висеть перестал,но пишет что включен AVZPM и отправляет в перезагрузку. После перезагрузки снова пишет что включен AVZPM и снова в перезагрузку. И так по кругу.[/COLOR]

Выполните скрипт в AVZ из папки Autologger
[code] begin
SetAVZPMStatus(False);
ExecuteStdScr(6);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пробуйте теперь собрать логи.

[QUOTE=thyrex;1485000]Выполните скрипт ...[/QUOTE]

Выполнил. Компьютер перегрузился и снова пишет "Включен AVZPM! Сейчас он будет отключен... " и предлагает перезагрузку. Если отказываюсь от перезагрузки, то AVZ закрывается.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Сделано

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
U5 vdmynzg0; C:\Windows\System32\Drivers\vdmynzg0.sys [13312 2010-10-29] () [File not signed]
S0 Winsx05; System32\Drivers\Winsx05.sys [X]
S1 yvbb02; \??\C:\WINDOWS\system32\yvbb02.sys [X]
S4 crvdll; C:\WINDOWS\System32\svchost.exe [14336 2008-04-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\Documents and Settings\terminal1\Мои документы\Загрузки\AutoLogger\AutoLogger\AVZ\avz.exe" Script="C:\Documents and Settings\terminal1\Мои документы\Загрузки\AutoLogger\AutoLogger (the data entry has 36 more characters).
2010-09-28 08:13 - 2010-10-07 16:32 - 000076296 _____ () C:\Program Files\Common Files\jqyrg4inedzz13m
2014-10-05 12:07 - 2014-10-05 12:07 - 000000000 ____D () C:\Documents and Settings\terminal1\Local Settings\Temp\avgnt.exe
2014-10-05 12:31 - 2014-10-05 12:31 - 000000000 ____D () C:\Documents and Settings\terminal10\Local Settings\Temp\avgnt.exe
2014-10-05 12:34 - 2014-10-05 12:34 - 000000000 ____D () C:\Documents and Settings\terminal11\Local Settings\Temp\avgnt.exe
2012-08-23 06:38 - 2012-08-23 06:38 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal12\Local Settings\Temp\AskSLib.dll
2014-10-05 12:39 - 2014-10-05 12:39 - 000000000 ____D () C:\Documents and Settings\terminal12\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal13\Local Settings\Temp\AskSLib.dll
2014-10-05 12:40 - 2014-10-05 12:40 - 000000000 ____D () C:\Documents and Settings\terminal13\Local Settings\Temp\avgnt.exe
2014-10-05 12:43 - 2014-10-05 12:43 - 000000000 ____D () C:\Documents and Settings\terminal14\Local Settings\Temp\avgnt.exe
2014-10-05 12:44 - 2014-10-05 12:44 - 000000000 ____D () C:\Documents and Settings\terminal15\Local Settings\Temp\avgnt.exe
2014-10-05 12:46 - 2014-10-05 12:46 - 000000000 ____D () C:\Documents and Settings\terminal16\Local Settings\Temp\avgnt.exe
2014-10-05 12:48 - 2014-10-05 12:48 - 000000000 ____D () C:\Documents and Settings\terminal17\Local Settings\Temp\avgnt.exe
2014-10-05 12:49 - 2014-10-05 12:49 - 000000000 ____D () C:\Documents and Settings\terminal18\Local Settings\Temp\avgnt.exe
2014-10-05 12:51 - 2014-10-05 12:51 - 000000000 ____D () C:\Documents and Settings\terminal19\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal2\Local Settings\Temp\AskSLib.dll
2014-05-13 13:25 - 2014-05-13 13:25 - 000000000 ____D () C:\Documents and Settings\terminal2\Local Settings\Temp\avgnt.exe
2014-10-05 12:52 - 2014-10-05 12:52 - 000000000 ____D () C:\Documents and Settings\terminal20\Local Settings\Temp\avgnt.exe
2014-10-05 12:54 - 2014-10-05 12:54 - 000000000 ____D () C:\Documents and Settings\terminal21\Local Settings\Temp\avgnt.exe
2014-10-05 12:57 - 2014-10-05 12:57 - 000000000 ____D () C:\Documents and Settings\terminal22\Local Settings\Temp\avgnt.exe
2014-10-05 12:55 - 2014-10-05 12:55 - 000000000 ____D () C:\Documents and Settings\terminal23\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal3\Local Settings\Temp\AskSLib.dll
2014-10-05 12:15 - 2014-10-05 12:15 - 000000000 ____D () C:\Documents and Settings\terminal3\Local Settings\Temp\avgnt.exe
2013-01-29 01:20 - 2013-01-29 01:20 - 000248008 _____ (Ask.com) C:\Documents and Settings\terminal4\Local Settings\Temp\AskSLib.dll
2014-10-05 12:17 - 2014-10-05 12:17 - 000000000 ____D () C:\Documents and Settings\terminal4\Local Settings\Temp\avgnt.exe
2014-10-05 12:20 - 2014-10-05 12:20 - 000000000 ____D () C:\Documents and Settings\terminal5\Local Settings\Temp\avgnt.exe
2014-10-05 12:23 - 2014-10-05 12:23 - 000000000 ____D () C:\Documents and Settings\terminal6\Local Settings\Temp\avgnt.exe
2014-10-05 12:25 - 2014-10-05 12:25 - 000000000 ____D () C:\Documents and Settings\terminal7\Local Settings\Temp\avgnt.exe
2014-10-05 12:27 - 2014-10-05 12:27 - 000000000 ____D () C:\Documents and Settings\terminal8\Local Settings\Temp\avgnt.exe
2014-10-05 12:30 - 2014-10-05 12:30 - 000000000 ____D () C:\Documents and Settings\terminal9\Local Settings\Temp\avgnt.exe
2014-04-16 12:00 - 2014-04-16 12:00 - 000000000 ____D () C:\Documents and Settings\Администратор\Local Settings\Temp\avgnt.exe
2014-05-24 15:05 - 2014-05-24 15:05 - 000000000 ____D () C:\Documents and Settings\Все остальные\Local Settings\Temp\avgnt.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Сделано

Что с проблемой?

Обе проблемы остались.
AVZPM отключить так и не может
Вирус тоже похоже живой. При переключении в основную учетную запись машина через пол минуты наглухо виснет и кладет локальную сеть.

Сделайте лог [url="https://virusinfo.info/showthread.php?t=218706&p=1480220&viewfull=1#post1480220"]МВАМ[/url]

Сделано

Поместите в карантин все, КРОМЕ
[CODE]PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-500\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293291],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-500\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293292],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-500\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293293],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1004\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293291],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1004\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293292],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1004\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293293],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1003\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293291],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1003\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293292],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKU\S-1-5-21-1801674531-1708537768-1957994488-1003\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293293],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|ANTIVIRUSDISABLENOTIFY, Проигнорировано пользователем, [12970], [293294],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FIREWALLDISABLENOTIFY, Проигнорировано пользователем, [12970], [293295],1.0.5935
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UPDATESDISABLENOTIFY, Проигнорировано пользователем, [12970], [293296],1.0.5935

HackTool.Agent, C:\WINDOWS\SYSTEM32\CRYPT.DLL, Проигнорировано пользователем, [3936], [146769],1.0.5935[/CODE]

Сделано. Но машина по прежнему живет только в безопасном режиме. При загрузке в обычный режим, где то через минуту машина вешает локалку и начинает безбожно тормозить.

[quote="Serjic;1484973"]В безопасном режиме с помощью adwcleaner удаляю его, но при обычной загрузке он снова воскресает и съедает все ресурсы.[/quote]Лог AdwCleaner прикрепите