Сильно тормозит компьютер, часто высвечивается командная строка [not-a-virus:HEUR:AdWare.Win32.Generic ]

**Маслов Вадим** · 08.01.2018, 15:40

Здравствуйте!
Сделал проверку Cureit - нашёл много инфицированных файлов.
Компьютер сильно подтормаживает.
Посмотрите логи, пожалуйста.
Спасибо за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 08.01.2018, 15:45

Уважаемый(ая) Маслов Вадим, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 09.01.2018, 22:55

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '');
 QuarantineFile('C:\Program Files\asIEteugZHiltZXSzxR\gVwRdbz.dll', '');
 QuarantineFile('C:\Program Files\DqiuzuGOKcYJC\WKsRSvv.dll', '');
 QuarantineFile('C:\Program Files\MzlvulvGoUlU2\aGGltdZCwZzfV.dll', '');
 QuarantineFile('C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe', '');
 QuarantineFile('C:\Program Files\V-bates\PrefHelper.exe', '');
 QuarantineFile('C:\Program Files\VKontOdnBlockU\WkbjfPY.dll', '');
 QuarantineFile('C:\Program Files\VmOZMOGDU\GldCZf.dll', '');
 QuarantineFile('C:\Users\119D~1\AppData\Roaming\ADOBEC~1\admres.exe', '');
 QuarantineFile('C:\Users\119D~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Users\119D~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE', '');
 QuarantineFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeter.exe', '');
 QuarantineFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterd.exe', '');
 QuarantineFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterw.exe', '');
 QuarantineFile('C:\Users\Вадик\AppData\Roaming\0A1G2U0P1C1F2Z1P1R2Z\AnyProtect Packages\uninstaller.exe', '');
 QuarantineFile('C:\Users\Вадик\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '');
 QuarantineFile('C:\Users\Вадик\AppData\Roaming\AdobeControlUtil\admres.exe', '');
 QuarantineFileF('c:\program files\pricemeterliveupdate', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\progra~1\suppor~1\suppor~1.dll', '32');
 DeleteFile('C:\Program Files\AnyProtectEx\AnyProtect.exe', '32');
 DeleteFile('C:\Program Files\asIEteugZHiltZXSzxR\gVwRdbz.dll', '32');
 DeleteFile('C:\Program Files\DqiuzuGOKcYJC\WKsRSvv.dll', '32');
 DeleteFile('C:\Program Files\MzlvulvGoUlU2\aGGltdZCwZzfV.dll', '32');
 DeleteFile('C:\Program Files\PriceMeterLiveUpdate\Update\PriceMeterLiveUpdate.exe', '32');
 DeleteFile('C:\Program Files\V-bates\PrefHelper.exe', '32');
 DeleteFile('C:\Program Files\VKontOdnBlockU\WkbjfPY.dll', '32');
 DeleteFile('C:\Program Files\VmOZMOGDU\GldCZf.dll', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{241C0CCD-05C6-43C6-9B38-314FEA88B974}\MpKsl7559a208.sys', '32');
 DeleteFile('C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{241C0CCD-05C6-43C6-9B38-314FEA88B974}\MpKslaa68cea7.sys', '32');
 DeleteFile('C:\Users\119D~1\AppData\Roaming\ADOBEC~1\admres.exe', '32');
 DeleteFile('C:\Users\119D~1\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Users\119D~1\AppData\Roaming\PRICEM~1\UPDATE~1\UPDATE~1.EXE', '32');
 DeleteFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeter.exe', '32');
 DeleteFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterd.exe', '32');
 DeleteFile('C:\Users\Вадик\AppData\Local\PriceMeter\pricemeterw.exe', '32');
 DeleteFile('C:\Users\Вадик\AppData\Roaming\0A1G2U0P1C1F2Z1P1R2Z\AnyProtect Packages\uninstaller.exe', '32');
 DeleteFile('C:\Users\Вадик\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe', '32');
 DeleteFile('C:\Users\Вадик\AppData\Roaming\AdobeControlUtil\admres.exe', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '32');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '32');
 DeleteFile('C:\Windows\Tasks\Dealply.job', '32');
 DeleteFile('C:\Windows\Tasks\FF Watcher {7CB8896B-6372-40B9-B745-BDDFC4287B91}.job', '32');
 DeleteFile('C:\Windows\Tasks\FF20459C-DA6E-41A7-80BC-8F4FEFD9C575.job', '32');
 DeleteFile('C:\Windows\Tasks\jvGRnMQUFINRiXTpoRC.job', '32');
 DeleteFile('C:\Windows\Tasks\NtALBiAWXMJTkoiKQ.job', '32');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineCore.job', '32');
 DeleteFile('C:\Windows\Tasks\PriceMeterLiveUpdateUpdateTaskMachineUA.job', '32');
 DeleteFile('C:\Windows\Tasks\PriceMeterUpdater.job', '32');
 DeleteFile('C:\Windows\Tasks\uOTJHowqzXJiALT.job', '32');
 DeleteFile('uOTJHowqzXJiALT.job', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{619068FA-5D4B-4633-9B53-139A531BF23D}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{7FE1334D-ABBD-4408-8EE5-1E0A25FEEF20}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AdobeControlUtil" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Dealply" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FF Watcher {7CB8896B-6372-40B9-B745-BDDFC4287B91}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "FF20459C-DA6E-41A7-80BC-8F4FEFD9C575" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "jvGRnMQUFINRiXTpoRC" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "jvGRnMQUFINRiXTpoRC2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "NtALBiAWXMJTkoiKQ" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "NtALBiAWXMJTkoiKQ2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "pricemeterdownloader" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterLiveUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterLiveUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "pricemetertask" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "PriceMeterUpdater" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "pricemeterwatcher" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "tfxNQjIjAdVwIC" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "uOTJHowqzXJiALT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "uOTJHowqzXJiALT2" /F', 0, 15000, true);
 DeleteFileMask('c:\program files\anyprotectex', '*', true);
 DeleteFileMask('c:\program files\asieteugzhiltzxszxr', '*', true);
 DeleteFileMask('c:\program files\dqiuzugokcyjc', '*', true);
 DeleteFileMask('c:\program files\mzlvulvgoulu2', '*', true);
 DeleteFileMask('c:\program files\pricemeterliveupdate', '*', true);
 DeleteFileMask('c:\program files\v-bates', '*', true);
 DeleteFileMask('c:\program files\vkontodnblocku', '*', true);
 DeleteFileMask('c:\program files\vmozmogdu', '*', true);
 DeleteFileMask('c:\programdata\microsoft\windows defender', '*', true);
 DeleteFileMask('c:\users\119d~1\appdata\roaming\dealply\update~1', '*', true);
 DeleteFileMask('c:\users\119d~1\appdata\roaming\pricem~1\update~1', '*', true);
 DeleteFileMask('c:\users\вадик\appdata\local\pricemeter', '*', true);
 DeleteFileMask('c:\users\вадик\appdata\roaming\0a1g2u0p1c1f2z1p1r2z', '*', true);
 DeleteFileMask('c:\users\вадик\appdata\roaming\0c1i1l1r1j0m1p0i1g', '*', true);
 DeleteDirectory('c:\program files\anyprotectex');
 DeleteDirectory('c:\program files\asieteugzhiltzxszxr');
 DeleteDirectory('c:\program files\dqiuzugokcyjc');
 DeleteDirectory('c:\program files\mzlvulvgoulu2');
 DeleteDirectory('c:\program files\pricemeterliveupdate');
 DeleteDirectory('c:\program files\v-bates');
 DeleteDirectory('c:\program files\vkontodnblocku');
 DeleteDirectory('c:\program files\vmozmogdu');
 DeleteDirectory('c:\programdata\microsoft\windows defender');
 DeleteDirectory('c:\users\119d~1\appdata\roaming\dealply\update~1');
 DeleteDirectory('c:\users\119d~1\appdata\roaming\pricem~1\update~1');
 DeleteDirectory('c:\users\вадик\appdata\local\pricemeter');
 DeleteDirectory('c:\users\вадик\appdata\roaming\0a1g2u0p1c1f2z1p1r2z');
 DeleteDirectory('c:\users\вадик\appdata\roaming\0c1i1l1r1j0m1p0i1g');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-3593059732-2646408772-1846979983-1002\Software\Microsoft\Windows\CurrentVersion\Run', 'PriceMeterW');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportDeletedList;
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

Сделайте лог Malwarebytes AdwCleaner.

**Маслов Вадим** · 10.01.2018, 09:22

Отправляю запрошенные логи

**Vvvyg** · 10.01.2018, 21:07

Я просил НОВЫЙ лог Autologger. И Ok после запуска Autologger нажимать с зажатой клавишей Shift. Теперь уже не надо.

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**CyberHelper** · 10.01.2018, 21:17

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\program files\asieteugzhiltzxszxr\gvwrdbz.dll - not-a-virus:HEUR:AdWare.Win32.Generic ( BitDefender: Gen:Variant.Barys.2132 )
2. c:\program files\vmozmogdu\gldczf.dll - not-a-virus:HEUR:AdWare.Win32.Generic

Сильно тормозит компьютер, часто высвечивается командная строка [not-a-virus:HEUR:AdWare.Win32.Generic ] (заявка № 217060)

Опции темы