Последнее время стали медленно открываться страницы браузера Chrome, есть подозрение на вирусы.
Printable View
Последнее время стали медленно открываться страницы браузера Chrome, есть подозрение на вирусы.
Уважаемый(ая) [B]wert12[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;
procedure FillList;
begin
PD_folders := TStringList.Create;
PD_folders.Add('360TotalSecurity');
PD_folders.Add('360safe');
PD_folders.Add('AVAST Software');
PD_folders.Add('Avg');
PD_folders.Add('Avira');
PD_folders.Add('ESET');
PD_folders.Add('Indus');
PD_folders.Add('McAfee');
PD_folders.Add('Norton');
PD_folders.Add('grizzly');
PD_folders.Add('RealtekHD');
PD_folders.Add('RunDLL');
PD_folders.Add('Setup');
PD_folders.Add('System32');
PD_folders.Add('Windows');
PD_folders.Add('WindowsTask');
PD_folders.Add('install');
PD_folders.Add('bebca3bc90');
PF_folders := TStringList.Create;
PF_folders.Add('360');
PF_folders.Add('AVAST Software');
PF_folders.Add('AVG');
PF_folders.Add('ByteFence');
PF_folders.Add('COMODO');
PF_folders.Add('Cezurity');
PF_folders.Add('Common Files\McAfee');
PF_folders.Add('ESET');
PF_folders.Add('Enigma Software Group');
PF_folders.Add('GRIZZLY Antivirus');
PF_folders.Add('Microsoft JDX');
PF_folders.Add('Panda Security');
PF_folders.Add('SpyHunter');
PF_folders.Add('RDP Wrapper');
O_folders := TStringList.Create;
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;
procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
for i := 0 to AFL.Count - 1 do
begin
fname := NormalDir(path + AFL[i]);
if DirectoryExists(fname) then
begin
FSResetSecurity(fname);
QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteFileMask(fname, '*', true);
DeleteDirectory(fname);
end;
end;
end;
procedure swprv;
begin
ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;
procedure AV_block_remove;
begin
clearlog;
if GetAVZVersion < 5.18 then begin
ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например из папки AutoLogger-а.');
AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
exitAVZ;
end;
FillList;
ProgramData := GetEnvironmentVariable('ProgramData');
ProgramFiles := NormalDir('%PF%');
ProgramFiles86 := NormalDir('%PF% (x86)');
Del_folders(ProgramData +'\', PD_folders);
Del_folders(ProgramFiles, PF_folders);
Del_folders(ProgramFiles86, PF_folders);
Del_folders('', O_folders);
if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
swprv;
ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
SaveLog(GetAVZDirectory +'AV_block_remove.log');
PD_folders.Free;
PF_folders.Free;
O_folders.Free;
ExecuteWizard('SCU', 2, 2, true);
end;
begin
TerminateProcessByName('C:\ProgramData\Windows\dlchosts.exe');
QuarantineFile('C:\ProgramData\Windows\dlchosts.exe', '');
QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', '');
QuarantineFile('C:\Windows\SysWOW64\H@tKeysH@@k.DLL','');
QuarantineFile('C:\Windows\System32\H@tKeysH@@k.DLL','');
DeleteFile('C:\ProgramData\Windows\dlchosts.exe', '64');
DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64');
DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
DeleteService('NetworkX');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Live Update','x32');
DeleteFile('C:\Windows\System32\H@tKeysH@@k.DLL','32');
DeleteFile('C:\Windows\SysWOW64\H@tKeysH@@k.DLL','32');
AV_block_remove;
ExecuteSysClean;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.
Файл [B]AV_block_remove.log[/B] из папки с AVZ прикрепите к своему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Архив карантина не создается, есть только папка Quarantine и внутри папка с датой её создания, внутри этой папки есть файлы, но я удалил папку Quarantine и второй раз запустил скрипт, теперь в папке Quarantine ничего нет.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {1C11C2FB-DFF8-4E2E-B2B1-243DB8321BF1} - \Александр -> No File <==== ATTENTION
Task: {D4D28686-E399-4515-837E-3EA4B26388C5} - System32\Tasks\{F2045909-98D9-4CF0-BE0B-FCE12D9D97EE} => C:\Windows\system32\pcalua.exe -a E:\Программы\AVZ\HijackThis.exe -d E:\Программы\AVZ
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [No File]
CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{46406D82-6EC0-47CC-8A75-1F33C6DEDBBE}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.442\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{540C17A8-04F2-4B66-95D7-B2FEF9A19B54}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.422\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{6D264B70-DA18-401D-910C-B202D89670C6}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.32\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{84EB3779-151B-4C71-AEF0-A0FEE9481401}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.342\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{86508D42-E5D7-4D10-9C6F-D427AEEB85B5}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.34.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{EF076C91-DC9E-43E3-84ED-3D219E065A4F}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.302\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{F654F1BF-54D9-4A2E-B703-889091D3CB2D}\InprocServer32 -> D:\Разное\Черчение\AshlarW7PreviewHandler_x64.dll => No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> No File
FirewallRules: [{CD13AD59-021A-421B-88F8-7917FACE240D}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\ClientLauncherG.cdx => No File
FirewallRules: [{6CC71561-007A-42A2-8A25-2594FB0C54BE}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\ClientLauncherG.cdx => No File
FirewallRules: [{97B1CE2F-389F-482B-8983-5ED65C5E78FA}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\GooG.cdx => No File
FirewallRules: [{40764CE5-92A8-42C6-836C-03E6755CCA82}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\GooG.cdx => No File
FirewallRules: [{B49B7BF3-1246-4835-BF88-679122D48934}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\InstanceServerG.cdx => No File
FirewallRules: [{8134C9CD-A0C6-4ECF-BAE6-FD3CA8AA18A4}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\InstanceServerG.cdx => No File
FirewallRules: [{68EE124A-4E73-48DE-91F5-D6B3519F2708}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => No File
FirewallRules: [{C2103C33-9705-4F74-82D8-20A9B52A0F16}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => No File
FirewallRules: [{9FB9AE19-879E-4954-9DC4-C38CC8CE7427}] => (Allow) E:\Скачка с интернета\Nox\Nox\bin\Nox.exe => No File
FirewallRules: [{D0EF264F-F3E4-405B-82A7-0F0119D3EDF7}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => No File
FirewallRules: [{430A7441-48CD-41A5-B78E-B86725980A3B}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File
FirewallRules: [{5FF3FD86-5796-4BF4-82AC-3C9AD9288EA9}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File
FirewallRules: [{93DCE7DE-223F-4D72-9E60-0E7F44CC742A}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File
FirewallRules: [{13CF5860-F046-4439-8B4A-7B225D254B66}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File
FirewallRules: [{A9EAE730-E3B0-49D3-9097-2F739A9548D0}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{3C9D300E-0A73-42C9-A2F0-3722BC93B033}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{DEC8D707-EDA7-4D16-95D6-A2A41A7DC5B2}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [{4AE3432B-16F3-492B-837F-F19780E66551}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{A1B19C37-BF53-4914-8707-C2B5D2A58CE2}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{70DA477D-F77A-4CAF-A3AD-DD43F3095411}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [{402FABFC-9DE6-4031-8453-22B21C165A22}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{DE512BA0-4CA7-48AD-BE5D-57A884702543}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{31E2FC7C-B119-4D17-AAC4-33A2E6807340}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
FirewallRules: [{6A723245-36EF-494C-B863-C8E4DB582627}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File
FirewallRules: [{94BB54B6-CEBA-4B9F-9495-BB2EAC6A3A9A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File
FirewallRules: [{ABE40CBA-633A-4277-A365-1D5AD7A8DF05}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Вроде страницы стали быстрее открываться.
Подтормаживания пока не вижу.
Надо некоторое время для теста.