ПК тормозит...

**bobwolf** · 14.11.2016, 01:26

Помогите пожалуйста!

Засканил ПК KVRT. Нашел кучу вирусов и удалил их. По ощущениям остались какие то следы от этих вирусов. Стартовая страница в IE хз какая, да и подтормаживает ноут...

Логи вложил...

Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.11.2016, 01:27

Уважаемый(ая) bobwolf, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 16.11.2016, 03:20

Здравствуйте,

HiJackThis профиксить

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78aa7b617b7a8062f56b1911f7fb958b&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78aa7b617b7a8062f56b1911f7fb958b&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78aa7b617b7a8062f56b1911f7fb958b&text=yandex.ru
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78aa7b617b7a8062f56b1911f7fb958b&text=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78aa7b617b7a8062f56b1911f7fb958b&text=
R3 - URLSearchHook: (no name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - (no file)
O13 - DefaultPrefix: http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=78aa7b617b7a8062f56b1911f7fb958b&text=

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Ира\appdata\local\microsoft\extensions\safebrowser.exe','');
 QuarantineFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','');
 QuarantineFile('C:\Users\Ира\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 QuarantineFile('C:\Users\8E9B~1\AppData\Local\Temp\machineupper32.exe','');
 QuarantineFile('C:\Users\Ира\AppData\Roaming\AcroRd86\AcroRdUpdater.exe','');
 QuarantineFile('C:\Users\Ира\AppData\Local\storegid\storegidup.exe','');
 QuarantineFile('C:\Users\Ира\AppData\Local\storegid\storegid.exe','');
 DeleteFile('C:\Users\Ира\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','32');
 DeleteFile('C:\ProgramData\Kbrowser utility\kbrowser-updater-utility.exe','32');
 DeleteFile('C:\Users\Ира\appdata\local\microsoft\extensions\safebrowser.exe','32');
 DeleteFile('C:\Users\Ира\AppData\Local\storegid\storegid.exe','32');
 DeleteFile('C:\Users\Ира\AppData\Local\storegid\storegidup.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegidUpdater','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\storegid','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Сделайте лог Check Browsers' LNK by Dragokas & regist.

- Подготовьте лог AdwCleaner и приложите его в теме.

**bobwolf** · 16.11.2016, 22:48

Все выполнил. Логи во вложении.

SQ · 17.11.2016, 11:11

Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**bobwolf** · 17.11.2016, 21:20

Сделано...

SQ · 18.11.2016, 00:08

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**bobwolf** · 18.11.2016, 20:47

done!

SQ · 18.11.2016, 21:57

Знакома ли Вам?

Код:

2012-05-26 15:47 - 2012-05-31 07:55 - 0000089 _____ () C:\Users\Ира\AppData\Roaming\d1f1d676a
2012-05-26 15:47 - 2012-05-31 07:55 - 0005484 _____ () C:\Users\Ира\AppData\Roaming\D1F1D6B4a
2011-10-08 23:08 - 2011-10-08 23:08 - 0000873 _____ () C:\Users\Ира\AppData\Roaming\Dat1184.tmp.xsi
2011-10-08 23:00 - 2011-10-08 23:00 - 0000390 _____ () C:\Users\Ира\AppData\Roaming\Dat15E6.tmp.xsi
2011-11-26 02:53 - 2011-11-26 02:53 - 0000399 _____ () C:\Users\Ира\AppData\Roaming\Dat1820.tmp.xsi
2011-10-08 22:47 - 2011-10-08 22:47 - 0000387 _____ () C:\Users\Ира\AppData\Roaming\Dat19DB.tmp.xsi
2011-10-08 23:09 - 2011-10-08 23:09 - 0002941 _____ () C:\Users\Ира\AppData\Roaming\Dat1C22.tmp.xsi
2011-10-11 21:43 - 2011-10-11 21:43 - 0003225 _____ () C:\Users\Ира\AppData\Roaming\Dat216.tmp.xsi
2011-11-26 02:47 - 2011-11-26 02:47 - 0000309 _____ () C:\Users\Ира\AppData\Roaming\Dat23B4.tmp.xsi
2011-11-26 19:01 - 2011-11-26 19:01 - 0000646 _____ () C:\Users\Ира\AppData\Roaming\Dat2DE.tmp.xsi
2011-11-26 02:54 - 2011-11-26 02:54 - 0000395 _____ () C:\Users\Ира\AppData\Roaming\Dat32A.tmp.xsi
2011-10-08 23:11 - 2011-10-08 23:11 - 0000889 _____ () C:\Users\Ира\AppData\Roaming\Dat4201.tmp.xsi
2011-10-11 21:36 - 2011-10-11 21:36 - 0003180 _____ () C:\Users\Ира\AppData\Roaming\Dat4EEC.tmp.xsi
2011-10-13 00:21 - 2011-10-13 00:21 - 0000293 _____ () C:\Users\Ира\AppData\Roaming\Dat5773.tmp.xsi
2011-11-26 03:12 - 2011-11-26 03:12 - 0000373 _____ () C:\Users\Ира\AppData\Roaming\Dat58CA.tmp.xsi
2011-10-20 18:00 - 2011-10-20 18:00 - 0000661 _____ () C:\Users\Ира\AppData\Roaming\Dat6346.tmp.xsi
2011-10-08 23:10 - 2011-10-08 23:10 - 0002241 _____ () C:\Users\Ира\AppData\Roaming\Dat6640.tmp.xsi
2011-10-08 23:08 - 2011-10-08 23:08 - 0001087 _____ () C:\Users\Ира\AppData\Roaming\Dat6C22.tmp.xsi
2011-10-08 21:59 - 2011-10-08 21:59 - 0000314 _____ () C:\Users\Ира\AppData\Roaming\Dat6D37.tmp.xsi
2011-10-20 18:01 - 2011-10-20 18:01 - 0001165 _____ () C:\Users\Ира\AppData\Roaming\Dat7081.tmp.xsi
2011-10-20 18:01 - 2011-10-20 18:01 - 0000661 _____ () C:\Users\Ира\AppData\Roaming\Dat718C.tmp.xsi
2011-10-23 13:23 - 2011-10-23 13:23 - 0000308 _____ () C:\Users\Ира\AppData\Roaming\Dat8488.tmp.xsi
2011-10-08 23:09 - 2011-10-08 23:09 - 0002309 _____ () C:\Users\Ира\AppData\Roaming\Dat8E94.tmp.xsi
2011-10-20 18:00 - 2011-10-20 18:00 - 0000685 _____ () C:\Users\Ира\AppData\Roaming\DatA3D0.tmp.xsi
2011-10-13 00:18 - 2011-10-13 00:18 - 0000293 _____ () C:\Users\Ира\AppData\Roaming\DatA8DC.tmp.xsi
2011-12-01 10:08 - 2011-12-01 10:08 - 0000406 _____ () C:\Users\Ира\AppData\Roaming\DatB72D.tmp.xsi
2011-11-26 02:33 - 2011-11-26 02:33 - 0000400 _____ () C:\Users\Ира\AppData\Roaming\DatB74B.tmp.xsi
2011-10-23 13:28 - 2011-10-23 13:28 - 0000460 _____ () C:\Users\Ира\AppData\Roaming\DatB77B.tmp.xsi
2011-10-08 23:12 - 2011-10-08 23:12 - 0001447 _____ () C:\Users\Ира\AppData\Roaming\DatBD49.tmp.xsi
2011-10-08 23:08 - 2011-10-08 23:08 - 0001613 _____ () C:\Users\Ира\AppData\Roaming\DatC26D.tmp.xsi
2011-10-11 21:45 - 2011-10-11 21:45 - 0003227 _____ () C:\Users\Ира\AppData\Roaming\DatC45C.tmp.xsi
2011-10-20 21:59 - 2011-10-20 21:59 - 0000300 _____ () C:\Users\Ира\AppData\Roaming\DatCC3E.tmp.xsi
2011-10-08 22:53 - 2011-10-08 22:53 - 0000389 _____ () C:\Users\Ира\AppData\Roaming\DatD454.tmp.xsi
2011-10-08 23:07 - 2011-10-08 23:07 - 0002137 _____ () C:\Users\Ира\AppData\Roaming\DatD56D.tmp.xsi
2011-10-08 23:09 - 2011-10-08 23:09 - 0000977 _____ () C:\Users\Ира\AppData\Roaming\DatD5DE.tmp.xsi
2011-10-23 13:39 - 2011-10-23 13:39 - 0000460 _____ () C:\Users\Ира\AppData\Roaming\DatEC9F.tmp.xsi
2011-10-08 23:11 - 2011-10-08 23:11 - 0002887 _____ () C:\Users\Ира\AppData\Roaming\DatEF0F.tmp.xsi
2011-10-08 22:03 - 2011-10-08 22:03 - 0000308 _____ () C:\Users\Ира\AppData\Roaming\DatF27E.tmp.xsi
2011-12-01 10:13 - 2011-12-01 10:13 - 0000308 _____ () C:\Users\Ира\AppData\Roaming\DatF601.tmp.xsi
2011-10-08 22:29 - 2011-10-08 22:29 - 0002041 _____ () C:\Users\Ира\AppData\Roaming\DatF981.tmp.xsi
2011-10-08 22:29 - 2011-10-08 22:29 - 0001069 _____ () C:\Users\Ира\AppData\Roaming\DatFEDF.tmp.xsi

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
2016-11-01 19:10 - 2013-05-11 19:07 - 00000000 ____D C:\Users\Все пользователи\188F1432-103A-4ffb-80F1-36B633C5C9E1
2016-11-01 19:10 - 2013-05-11 19:07 - 00000000 ____D C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
2014-08-11 22:13 - 2014-08-11 22:13 - 0000000 _____ () C:\Users\Ира\AppData\Roaming\smw_inst
2011-10-12 23:53 - 2011-10-12 23:53 - 0000024 _____ () C:\Users\Ира\AppData\Local\84756-11986-27475-00TC1-94865
CustomCLSID: HKU\S-1-5-21-2481783012-2756282476-2848060477-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
CustomCLSID: HKU\S-1-5-21-2481783012-2756282476-2848060477-1000_Classes\CLSID\{08DA629F-8B2B-489c-A667-2FC213E043FD}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-2481783012-2756282476-2848060477-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
CustomCLSID: HKU\S-1-5-21-2481783012-2756282476-2848060477-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
Task: {00DE3FEA-89FE-411F-A657-6697338CEEEF} - \kbrowser-updater-utility -> No File <==== ATTENTION
Task: {09629419-EEC9-4A78-8614-C4221A7F9E9F} - no filepath
Task: {6A88B12A-EDAE-4AD3-9B25-44453A4A245E} - \Safebrowser -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Ира\Local Settings:init [1264133]
AlternateDataStreams: C:\Users\Ира\AppData\Local:init [1264133]
AlternateDataStreams: C:\Users\Ира\AppData\Local\Application Data:init [1264133]
MSCONFIG\startupreg: storegid => 
MSCONFIG\startupreg: storegidUpdater => 
FirewallRules: [TCP Query User{BA808783-D319-45E0-8BB0-FE618FBC32B5}C:\users\ира\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ира\appdata\local\mediaget2\mediaget.exe
FirewallRules: [UDP Query User{2DC74CA4-63AE-4FA8-BC81-E5304D98A3CB}C:\users\ира\appdata\local\mediaget2\mediaget.exe] => (Block) C:\users\ира\appdata\local\mediaget2\mediaget.exe
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**bobwolf** · 18.11.2016, 22:22

[QUOTE=SQ;1414452]Знакома ли Вам?

Не представляю что в этом коде...

Выполняю лог.

- - - - -Добавлено - - - - -

log

SQ · 19.11.2016, 01:25

Сообщение от bobwolf

Не представляю что в этом коде...

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File: C:\Users\Ира\AppData\Roaming\d1f1d676a
File: C:\Users\Ира\AppData\Roaming\D1F1D6B4a
File: C:\Users\Ира\AppData\Roaming\Dat1184.tmp.xsi
Zip: C:\Users\Ира\AppData\Roaming\d1f1d676a;C:\Users\Ира\AppData\Roaming\D1F1D6B4a;C:\Users\Ира\AppData\Roaming\Dat1184.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat15E6.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat1820.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat19DB.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat1C22.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat216.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat23B4.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat2DE.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat32A.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat4201.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat4EEC.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat5773.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat58CA.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat6346.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat6640.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat6C22.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat6D37.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat7081.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat718C.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat8488.tmp.xsi;C:\Users\Ира\AppData\Roaming\Dat8E94.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatA3D0.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatA8DC.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatB72D.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatB74B.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatB77B.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatBD49.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatC26D.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatC45C.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatCC3E.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatD454.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatD56D.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatD5DE.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatEC9F.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatEF0F.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatF27E.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatF601.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatF981.tmp.xsi;C:\Users\Ира\AppData\Roaming\DatFEDF.tmp.xsi
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

Файл Upload.zip с рабочего стола загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**bobwolf** · 19.11.2016, 10:33

лог

SQ · 19.11.2016, 15:57

Сообщите, что с проблемой?

**bobwolf** · 20.11.2016, 21:39

ПК работает значительно быстрее...
Спасибо за помощь!

SQ · 21.11.2016, 10:56

На этом всё! Удачи Вам!

**CyberHelper** · 21.11.2016, 11:06

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 57
В ходе лечения вредоносные программы в карантинах не обнаружены

ПК тормозит... (заявка № 205855)

Опции темы