Показано с 1 по 12 из 12.

Проверка на вирусы! Тормозит ПК, вирусы типа: One System Care, Blazers, GUM1860.tmp, Zaxar и др. (заявка № 212646)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    164
    Вес репутации
    55

    Проверка на вирусы! Тормозит ПК, вирусы типа: One System Care, Blazers, GUM1860.tmp, Zaxar и др.

    Тормозит ПК, вирусы типа: One System Care, Blazers, GUM1860.tmp, Zaxar и др.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) lohudra, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\program files (x86)\onesystemcare\cleanupconsole.exe');
     TerminateProcessByName('c:\program files (x86)\blazers\wac.exe');
     TerminateProcessByName('c:\program files (x86)\blazers\watsvc.exe');
     TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
     StopService('Watsvc');
     QuarantineFile('c:\program files (x86)\onesystemcare\cleanupconsole.exe', '');
     QuarantineFile('c:\program files (x86)\blazers\wac.exe', '');
     QuarantineFile('c:\program files (x86)\blazers\watsvc.exe', '');
     QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '');
     QuarantineFile('C:\Windows\system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64.sys', '');
     QuarantineFile('C:\Windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gw64.sys', '');
     QuarantineFile('C:\Users\Max\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
     QuarantineFile('C:\Users\Max\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE', '');
     QuarantineFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe', '');
     QuarantineFile('C:\PROGRA~2\ONESYS~1\SYSTEM~1.EXE', '');
     DeleteFile('C:\Windows\Tasks\Digital Sites.job', '64');
     DeleteFile('C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Mail.ru.lnk', '64');
     DeleteFile('C:\Windows\Tasks\One System CarePeriod.job', '64');
     DeleteFile('c:\program files (x86)\onesystemcare\cleanupconsole.exe', '32');
     DeleteFile('c:\program files (x86)\blazers\wac.exe', '32');
     DeleteFile('c:\program files (x86)\blazers\watsvc.exe', '32');
     DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe', '32');
     DeleteFile('C:\Windows\system32\drivers\{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64.sys', '32');
     DeleteFile('C:\Windows\system32\drivers\{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gw64.sys', '32');
     DeleteFile('C:\Users\Max\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\Users\Max\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE', '32');
     DeleteFile('C:\Program Files (x86)\OneSystemCare\OneSystemCare.exe', '32');
     DeleteFile('C:\PROGRA~2\ONESYS~1\SYSTEM~1.EXE', '32');
     DeleteService('Watsvc');
     DeleteService('{693a0a5b-aa08-4a3c-b7e8-398a93e02cf2}Gw64');
     DeleteService('{76eaa25f-d535-414d-8a8b-4bce0a94d247}Gw64');
     DeleteFileMask('c:\program files (x86)\onesystemcare', '*', true);
     DeleteFileMask('c:\program files (x86)\blazers', '*', true);
     DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
     DeleteFileMask('c:\program files (x86)\zaxar\platforms', '*', true);
     DeleteFileMask('c:\program files (x86)\zaxar\bearer', '*', true);
     DeleteFileMask('c:\program files (x86)\zaxar\imageformats', '*', true);
     DeleteFileMask('c:\program files (x86)\zaxar\sensors', '*', true);
     DeleteFileMask('c:\users\max\appdata\local\mail.ru', '*', true);
     DeleteFileMask('c:\users\max\appdata\roaming\digita~1', '*', true);
     DeleteFileMask('c:\progra~2\onesys~1', '*', true);
     DeleteDirectory('c:\program files (x86)\onesystemcare');
     DeleteDirectory('c:\program files (x86)\blazers');
     DeleteDirectory('c:\program files (x86)\zaxar');
     DeleteDirectory('c:\program files (x86)\zaxar\platforms');
     DeleteDirectory('c:\program files (x86)\zaxar\bearer');
     DeleteDirectory('c:\program files (x86)\zaxar\imageformats');
     DeleteDirectory('c:\program files (x86)\zaxar\sensors');
     DeleteDirectory('c:\users\max\appdata\local\mail.ru');
     DeleteDirectory('c:\users\max\appdata\roaming\digita~1');
     DeleteDirectory('c:\progra~2\onesys~1');
     ExecuteFile('schtasks.exe', '/delete /TN "Digital Sites" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdater" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "MailRuUpdateTask" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "One System Care Monitor" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "One System Care Run Delay" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "One System Care Task" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "One System CarePeriod" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{080B0547-7D0D-0E05-0A11-0D7A0F0F110C}" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(10);
     ExecuteRepair(2);
     ExecuteRepair(4);
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Кроме уже установленных, отметьте галочками также "90 Days Files".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    164
    Вес репутации
    55
    После перезагрузки ПК все файлы из Downloads, Рабочий стол, Пуск, Панель инструментов(некоторые приложения) удалились. В Downloads остались только 2 папки, это одно из скаченных Приложений и avz, в которой остался файл: avz.bak. Картинка рабочего стола тоже исчезла, экран стал черным
    Или это так задумано? При скачивании FRST, ошибка: недостаточно прав. Так же слева вкладка Избранное при открытом Мой компьютер, нет ни одной папки: Рабочий стол, Загрузки, Недавние места, Яндекс.Диск

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Я правильно понял, что скрипт был выполнен почти через полтора месяца после того, как я его рекомендовал?

    Попробуйте создать нового пользователя в системе и сделайте новый лог Autologger.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    164
    Вес репутации
    55
    Да, правильно, но скрипт же не должен все к чертям удалить?
    Последний раз редактировалось lohudra; 14.07.2017 в 11:44.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Не должен и не мог он всё удалить, видимо, были уже системные проблемы.

    Удалите программы Browser Configuration Utility и Zaxar Games Browser 4.

    Временно отключите антивирус.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите (некоторые строки могут отсутствовать) (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    R3 - HKCU\..\URLSearchHooks: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch64.dll
    R3 - HKU\..\URLSearchHooks: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch64.dll
    R4 - HKU\S-1-5-21-2273635326-485872079-1828668785-1000\Software\Microsoft\Internet Explorer\SearchScopes\yandex.ru-153719 - Webalta Search - http://webalta.ru/search?q={searchTerms}&from=IE
    R4 - HKU\S-1-5-21-2273635326-485872079-1828668785-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=8e30deb1e4370adec637a4d78f43506a&text={searchTerms}
    R4 - HKU\S-1-5-21-2273635326-485872079-1828668785-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=ntg
    Выполните скрипт в AVZ (проблем в этот раз не будет, не бойтесь):
    Код:
    begin
     TerminateProcessByName('c:\program files (x86)\mail.ru\update service\mrupdsrv.exe');
     TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
     DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
     DeleteFile('c:\program files (x86)\mail.ru\update service\mrupdsrv.exe', '32');
     DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
     DeleteDirectory('c:\program files (x86)\mail.ru');
     DelCLSID('{CC54109D-8B7F-44D8-A4D1-EFBF9CAC0FD9}');
    ExecuteSysClean;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    164
    Вес репутации
    55
    1).Программы - Browser Configuration Utility и Zaxar Games Browser 4 удалил через Uninstall Tool
    2).После запуска HijackThis, данные строки:
    Код:
    R3 - HKCU\..\URLSearchHooks: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch64.dll
    R3 - HKU\..\URLSearchHooks: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files (x86)\DeviceVM\Browser Configuration Utility\AddressBarSearch64.dll
    R4 - HKU\S-1-5-21-2273635326-485872079-1828668785-1000\Software\Microsoft\Internet Explorer\SearchScopes\yandex.ru-153719 - Webalta Search - http://webalta.ru/search?q={searchTerms}&from=IE
    R4 - HKU\S-1-5-21-2273635326-485872079-1828668785-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C} - yambler - http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=8e30deb1e4370adec637a4d78f43506a&text={searchTerms}
    R4 - HKU\S-1-5-21-2273635326-485872079-1828668785-1000\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/search?q={SearchTerms}&fr=ntg
    отсутствуют.
    3).Выполнил скрипт в AVZ

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,462
    Вес репутации
    1058
    Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.
    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    164
    Вес репутации
    55
    Yandex-браузер открывается, но никакие файлы загрузить не получается, не запускается ie.
    Удаленные файлы восстановить получилось, попробую восстановить саму систему

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2009
    Сообщений
    164
    Вес репутации
    55
    Что дальше делать?

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Новые логи Autologger
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

Похожие темы

  1. Есть подозрения на вирусы типа майнера.
    От Coming2Life в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 20.05.2015, 18:05
  2. Вирусы с расширением .tmp типа 66,4,5,C,D,6B,5A
    От travis_200 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 07.10.2011, 00:53
  3. MVCMIODE.exe и вирусы типа многацифар.exe
    От Papabearla в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 20.09.2010, 00:21
  4. Ответов: 34
    Последнее сообщение: 19.07.2010, 16:10
  5. на компе вирусы типа авторан
    От kusko в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.02.2009, 05:30

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00689 seconds with 19 queries