После попытки установки Winloadera начались проблемы

[volander]

Компьютер жутко тормозит занятость процессора доходит до 95%
Процессы Google Chrome постоянно создовались новые до 10 штук приэтом я его вообще не открывал
после удаления Chrome компьютер не реагирует на клики мышкой и клавиатуру. сам клик есть но нет реакции на него
Было очень много мусора и посторонних программ в процессах и папках Program files и c:/users/username/appdata/local/temp и .......roaming
то что нашел поудалял в ручную
Сейчас пишу из под Safemode по другому невозможно

Зарание благодарен

[Info_bot]

Уважаемый(ая) volander, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[volander]

Поковырявшись в системе вроде удалось вернуть компьютер к жизни
Прикрепляю свежие логи хотелось бы проверить не осталось ли каких следов или зловредов в системе
Зарание благодарен!

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHCzIu8riPZx3e11uEhObzU9n3iphf_EVhsJ74TapSztU2AGcdiKxbkJ2WIx9LkdvDYH1kpVHZ4kjkNDZarS_Lj4G_xCGbyd5M8sK3qLd9DZR-XoA-u95Oz5vGLm9adBjRIwoSc10qOe1lMRD80jAo0sgst3U5r
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHCzIu8riPZx3e11uEhObzU9n3iphf_EVhsJ74TapSztU2AGcdiKxbkJ2WIx9LkdvDYH1kpVHZ4kjkNDZarS_Lj4G_xCGbyd5M8sK3qLd9DZR-XoA-u95Oz5vGLm9adBjRIwoSc10qOe1lMRD80jAo0sgst3U5r
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHCzIu8riPZx3e11uEhObzU9n3iphf_EVhsJ74TapSztU2AGcdiKxbkJ2WIx9LkdvDYH1kpVHZ4kjkNDZarS_Lj4G_xCGbyd5M8sK3qLd9DZR-XoA-u95Oz5vGLm9adBjRIwoSc10qOe1lMRD80jAo0sgst3U5r
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHCzIu8riPZx3e11uEhObzU9n3iphf_EVhsJ74TapSztU2AGcdiKxbkJ2WIx9LkdvDYH1kpVHZ4kjkNDZarS_Lj4G_xCGbyd5M8sK3qLd9DZR-XoA-u95Oz5vGLm9adBjRIwoSc10qOe1lMRD80jAo0sgst3U5r6_4W_M_8JFw,,&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch} [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoHCzIu8riPZx3e11uEhObzU9n3iphf_EVhsJ74TapSztU2AGcdiKxbkJ2WIx9LkdvDYH1kpVHZ4kjkNDZarS_Lj4G_xCGbyd5M8sK3qLd9DZR-XoA-u95Oz5vGLm9adBjRIwoSc10qOe1lMRD80jAo0sgst3U5r6_4W_M_8JFw,,&q={searchTerms} - Search the web
O17 - HKLM\System\CCS\Services\Tcpip\..\{42148642-2FD0-480B-8531-B7DA42959A8A}: [NameServer] = 34.249.127.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{42148642-2FD0-480B-8531-B7DA42959A8A}: [NameServer] = 77.244.215.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB57E07E-C781-402D-9AE6-18CFB5AF2764}: [NameServer] = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB57E07E-C781-402D-9AE6-18CFB5AF2764}: [NameServer] = 34.249.127.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB57E07E-C781-402D-9AE6-18CFB5AF2764}: [NameServer] = 77.244.215.138
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{42148642-2FD0-480B-8531-B7DA42959A8A}: [NameServer] = 34.249.127.26
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{42148642-2FD0-480B-8531-B7DA42959A8A}: [NameServer] = 77.244.215.138
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CB57E07E-C781-402D-9AE6-18CFB5AF2764}: [NameServer] = 192.168.0.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CB57E07E-C781-402D-9AE6-18CFB5AF2764}: [NameServer] = 34.249.127.26
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{CB57E07E-C781-402D-9AE6-18CFB5AF2764}: [NameServer] = 77.244.215.138
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\Goldenwarm.dll (file missing)
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\OpenJoyplus.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Applications\Service.exe', '');
 QuarantineFile('C:\Browse\Browse.exe', '');
 QuarantineFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE', '');
 QuarantineFile('C:\Program Files\0E34D21ZZS\XV4KT49LR.exe', '');
 QuarantineFile('C:\Program Files\21L1LZVBGT\21L1LZVBG.exe', '');
 QuarantineFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe', '');
 QuarantineFile('C:\ProgramData\Quoteex\Goldenwarm.dll', '');
 QuarantineFile('C:\ProgramData\Quoteex\Joyflex.reg', '');
 QuarantineFile('C:\ProgramData\Quoteex\LightNimstring.reg', '');
 QuarantineFile('C:\ProgramData\Quoteex\OpenJoyplus.dll', '');
 QuarantineFile('C:\ProgramData\WindowsAppCertification\checker.vbs', '');
 QuarantineFile('C:\ProgramData\winhost.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYDMMA2D\JavaSetup8u161.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
 QuarantineFile('C:\Users\Slava\appdata\roaming\gplyra\gplyra.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\qbwqvxhcxwu\aee3p3mwuhb.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\qvavicaz4ie\ro5pwihruwz.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\wget\wget.exe', '');
 QuarantineFile('C:\Users\Slava\AppData\Roaming\wget\wget_1_19_4.exe', '');
 QuarantineFile('C:\Windows\rss\csrss.exe', '');
 QuarantineFile('C:\Windows\windefender.exe', '');
 QuarantineFile('J:\autorun.exe', '');
 QuarantineFile('J:\autorun.inf', '');
 QuarantineFileF('c:\applications', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 QuarantineFileF('c:\programdata\windowsappcertification', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 QuarantineFileF('c:\users\slava\appdata\roaming\wget', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\Applications\Service.exe', '32');
 DeleteFile('C:\Browse\Browse.exe', '32');
 DeleteFile('C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE', '32');
 DeleteFile('C:\Program Files\0E34D21ZZS\XV4KT49LR.exe', '32');
 DeleteFile('C:\Program Files\21L1LZVBGT\21L1LZVBG.exe', '32');
 DeleteFile('C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe', '32');
 DeleteFile('C:\ProgramData\Quoteex\Goldenwarm.dll', '32');
 DeleteFile('C:\ProgramData\Quoteex\Joyflex.reg', '32');
 DeleteFile('C:\ProgramData\Quoteex\LightNimstring.reg', '32');
 DeleteFile('C:\ProgramData\Quoteex\OpenJoyplus.dll', '32');
 DeleteFile('C:\ProgramData\WindowsAppCertification\checker.vbs', '32');
 DeleteFile('C:\ProgramData\winhost.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYDMMA2D\JavaSetup8u161.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
 DeleteFile('C:\Users\Slava\appdata\roaming\gplyra\gplyra.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\qbwqvxhcxwu\aee3p3mwuhb.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\qvavicaz4ie\ro5pwihruwz.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\wget\wget.exe', '32');
 DeleteFile('C:\Users\Slava\AppData\Roaming\wget\wget_1_19_4.exe', '32');
 DeleteFile('C:\Windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\windefender.exe', '32');
 DeleteFile('http:\kharesti.ru\f.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{C0068F3D-2398-482E-B39F-5C394BFD6DDA}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Browse" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FastDataX Task" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Duofind" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "psv_Zim-Flex" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ShadowsocksS" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wget" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wgets" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows_Antimalware_Host" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows_Antimalware_Host_Systm" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WinHostStartForMachine" /F', 0, 15000, true);
 DeleteService('WinDefender');
 DeleteFileMask('c:\applications', '*', false);
 DeleteFileMask('c:\browse', '*', true);
 DeleteFileMask('c:\progra~2\fastda~1', '*', true);
 DeleteFileMask('c:\program files\0e34d21zzs', '*', true);
 DeleteFileMask('c:\program files\21l1lzvbgt', '*', true);
 DeleteFileMask('c:\programdata\microsoftcorporation', '*', true);
 DeleteFileMask('c:\programdata\quoteex', '*', true);
 DeleteFileMask('c:\programdata\windowsappcertification', '*', false);
 DeleteFileMask('c:\users\slava\appdata\roaming\epicnet inc', '*', true);
 DeleteFileMask('c:\users\slava\appdata\roaming\gplyra', '*', true);
 DeleteFileMask('c:\users\slava\appdata\roaming\qvavicaz4ie', '*', true);
 DeleteFileMask('c:\users\slava\appdata\roaming\wget', '*', false);
 DeleteFileMask('c:\windows\rss', '*', true);
 DeleteDirectory('c:\applications');
 DeleteDirectory('c:\browse');
 DeleteDirectory('c:\progra~2\fastda~1');
 DeleteDirectory('c:\program files\0e34d21zzs');
 DeleteDirectory('c:\program files\21l1lzvbgt');
 DeleteDirectory('c:\programdata\microsoftcorporation');
 DeleteDirectory('c:\programdata\quoteex');
 DeleteDirectory('c:\programdata\windowsappcertification');
 DeleteDirectory('c:\users\slava\appdata\roaming\epicnet inc');
 DeleteDirectory('c:\users\slava\appdata\roaming\gplyra');
 DeleteDirectory('c:\users\slava\appdata\roaming\qvavicaz4ie');
 DeleteDirectory('c:\users\slava\appdata\roaming\wget');
 DeleteDirectory('c:\windows\rss');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '8969905');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', '9650289');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CWUONNRP514Z5MU');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MHPVE1BG2A3IQVF');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PolishedLake');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows_Antimalware_Host_Syst');
 ExecuteRepair(21);
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Slava\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk"      -> ["C:\Program Files (x86)\Internet Explorer\iexplore.exe"  =>> %SNP%]
>>>  "C:\Users\Slava\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk"    -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> %SNP%]
>>>  "C:\Users\Slava\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk"           -> ["C:\Program Files\Internet Explorer\iexplore.exe"  =>> %SNP%]
>>>  "C:\Users\Slava\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk"     -> ["C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  =>> %SNP%]

Отчёт о работе прикрепите.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[volander]

Архив карантина пуст, наверное я поудалял эти файлы в ручную.
Все остальное сделал и прикрепляю логи которые вы просили

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
delref HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRGNCLVS1AC6SNOHCZIU8RIPZX3E11UEHOBZU9N3IPHF_EVHSJ74TAPSZTU2AGCDIKXBKJ2WIX9LKDVDYH1KPVHZ4KJKNDZARS_LJ4G_XCGBYD5M8SK3QLD9DZR-XOA-U95OZ5VGLM9ADBJRIWOSC10QOE1LMRD80JAO0SGST3U5
delref %SystemDrive%\PROGRAM FILES (X86)\DMPYWNBVAIE\CQPGIUHUIQ.EXE
deldir %SystemDrive%\PROGRAM FILES (X86)\DMPYWNBVAIE
delref %SystemDrive%\USERS\SLAVA\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
apply
deltmp
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

[volander]

Сделанно

[Vvvyg]

Весь ваш зверинец зачищен должен быть, подтвердите.