Последнее время стали медленно открываться страницы браузера Chrome, есть подозрение на вирусы.
Последнее время стали медленно открываться страницы браузера Chrome, есть подозрение на вирусы.
Уважаемый(ая) wert12, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist} var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string; PD_folders, PF_folders, O_folders : TStringList; procedure FillList; begin PD_folders := TStringList.Create; PD_folders.Add('360TotalSecurity'); PD_folders.Add('360safe'); PD_folders.Add('AVAST Software'); PD_folders.Add('Avg'); PD_folders.Add('Avira'); PD_folders.Add('ESET'); PD_folders.Add('Indus'); PD_folders.Add('McAfee'); PD_folders.Add('Norton'); PD_folders.Add('grizzly'); PD_folders.Add('RealtekHD'); PD_folders.Add('RunDLL'); PD_folders.Add('Setup'); PD_folders.Add('System32'); PD_folders.Add('Windows'); PD_folders.Add('WindowsTask'); PD_folders.Add('install'); PD_folders.Add('bebca3bc90'); PF_folders := TStringList.Create; PF_folders.Add('360'); PF_folders.Add('AVAST Software'); PF_folders.Add('AVG'); PF_folders.Add('ByteFence'); PF_folders.Add('COMODO'); PF_folders.Add('Cezurity'); PF_folders.Add('Common Files\McAfee'); PF_folders.Add('ESET'); PF_folders.Add('Enigma Software Group'); PF_folders.Add('GRIZZLY Antivirus'); PF_folders.Add('Microsoft JDX'); PF_folders.Add('Panda Security'); PF_folders.Add('SpyHunter'); PF_folders.Add('RDP Wrapper'); O_folders := TStringList.Create; O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data')); O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi')); O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution')); O_folders.Add(NormalDir('%windir%'+'\speechstracing')); O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql')); end; procedure Del_folders(path:string; AFL : TStringList); var i : integer; begin for i := 0 to AFL.Count - 1 do begin fname := NormalDir(path + AFL[i]); if DirectoryExists(fname) then begin FSResetSecurity(fname); QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFileMask(fname, '*', true); DeleteDirectory(fname); end; end; end; procedure swprv; begin ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true); RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102'); RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103'); RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll'); OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion'); if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');; ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true); ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true); end; procedure AV_block_remove; begin clearlog; if GetAVZVersion < 5.18 then begin ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например из папки AutoLogger-а.'); AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion)); exitAVZ; end; FillList; ProgramData := GetEnvironmentVariable('ProgramData'); ProgramFiles := NormalDir('%PF%'); ProgramFiles86 := NormalDir('%PF% (x86)'); Del_folders(ProgramData +'\', PD_folders); Del_folders(ProgramFiles, PF_folders); Del_folders(ProgramFiles86, PF_folders); Del_folders('', O_folders); if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe'); if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini'); ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg'); RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun'); RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun'); RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll'); swprv; ExecuteFile('net.exe', 'user john /delete', 0, 15000, true); SaveLog(GetAVZDirectory +'AV_block_remove.log'); PD_folders.Free; PF_folders.Free; O_folders.Free; ExecuteWizard('SCU', 2, 2, true); end; begin TerminateProcessByName('C:\ProgramData\Windows\dlchosts.exe'); QuarantineFile('C:\ProgramData\Windows\dlchosts.exe', ''); QuarantineFile('C:\ProgramData\Windows\Profile\1.vbs', ''); QuarantineFile('C:\Windows\SysWOW64\H@tKeysH@@k.DLL',''); QuarantineFile('C:\Windows\System32\H@tKeysH@@k.DLL',''); DeleteFile('C:\ProgramData\Windows\dlchosts.exe', '64'); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT'); DeleteFile('C:\ProgramData\Windows\Profile\1.vbs', '64'); DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT'); DeleteService('NetworkX'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Live Update','x32'); DeleteFile('C:\Windows\System32\H@tKeysH@@k.DLL','32'); DeleteFile('C:\Windows\SysWOW64\H@tKeysH@@k.DLL','32'); AV_block_remove; ExecuteSysClean; RebootWindows(false); end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.
Файл AV_block_remove.log из папки с AVZ прикрепите к своему сообщению.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Архив карантина не создается, есть только папка Quarantine и внутри папка с датой её создания, внутри этой папки есть файлы, но я удалил папку Quarantine и второй раз запустил скрипт, теперь в папке Quarantine ничего нет.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Task: {1C11C2FB-DFF8-4E2E-B2B1-243DB8321BF1} - \Александр -> No File <==== ATTENTION Task: {D4D28686-E399-4515-837E-3EA4B26388C5} - System32\Tasks\{F2045909-98D9-4CF0-BE0B-FCE12D9D97EE} => C:\Windows\system32\pcalua.exe -a E:\Программы\AVZ\HijackThis.exe -d E:\Программы\AVZ FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [No File] FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [No File] CHR HKLM\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{46406D82-6EC0-47CC-8A75-1F33C6DEDBBE}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.442\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{540C17A8-04F2-4B66-95D7-B2FEF9A19B54}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.422\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{6D264B70-DA18-401D-910C-B202D89670C6}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.36.32\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{84EB3779-151B-4C71-AEF0-A0FEE9481401}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.342\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{86508D42-E5D7-4D10-9C6F-D427AEEB85B5}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.34.11\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{EF076C91-DC9E-43E3-84ED-3D219E065A4F}\InprocServer32 -> C:\Users\Александр\AppData\Local\Google\Update\1.3.35.302\psuser_64.dll => No File CustomCLSID: HKU\S-1-5-21-2379878166-2146474550-389933068-1000_Classes\CLSID\{F654F1BF-54D9-4A2E-B703-889091D3CB2D}\InprocServer32 -> D:\Разное\Черчение\AshlarW7PreviewHandler_x64.dll => No File ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> No File FirewallRules: [{CD13AD59-021A-421B-88F8-7917FACE240D}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\ClientLauncherG.cdx => No File FirewallRules: [{6CC71561-007A-42A2-8A25-2594FB0C54BE}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\ClientLauncherG.cdx => No File FirewallRules: [{97B1CE2F-389F-482B-8983-5ED65C5E78FA}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\GooG.cdx => No File FirewallRules: [{40764CE5-92A8-42C6-836C-03E6755CCA82}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\GooG.cdx => No File FirewallRules: [{B49B7BF3-1246-4835-BF88-679122D48934}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\InstanceServerG.cdx => No File FirewallRules: [{8134C9CD-A0C6-4ECF-BAE6-FD3CA8AA18A4}] => (Allow) D:\Grey Goo\Grey Goo Definitive Edition\InstanceServerG.cdx => No File FirewallRules: [{68EE124A-4E73-48DE-91F5-D6B3519F2708}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => No File FirewallRules: [{C2103C33-9705-4F74-82D8-20A9B52A0F16}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe => No File FirewallRules: [{9FB9AE19-879E-4954-9DC4-C38CC8CE7427}] => (Allow) E:\Скачка с интернета\Nox\Nox\bin\Nox.exe => No File FirewallRules: [{D0EF264F-F3E4-405B-82A7-0F0119D3EDF7}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => No File FirewallRules: [{430A7441-48CD-41A5-B78E-B86725980A3B}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File FirewallRules: [{5FF3FD86-5796-4BF4-82AC-3C9AD9288EA9}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File FirewallRules: [{93DCE7DE-223F-4D72-9E60-0E7F44CC742A}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File FirewallRules: [{13CF5860-F046-4439-8B4A-7B225D254B66}] => (Allow) C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe => No File FirewallRules: [{A9EAE730-E3B0-49D3-9097-2F739A9548D0}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File FirewallRules: [{3C9D300E-0A73-42C9-A2F0-3722BC93B033}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File FirewallRules: [{DEC8D707-EDA7-4D16-95D6-A2A41A7DC5B2}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File FirewallRules: [{4AE3432B-16F3-492B-837F-F19780E66551}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File FirewallRules: [{A1B19C37-BF53-4914-8707-C2B5D2A58CE2}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File FirewallRules: [{70DA477D-F77A-4CAF-A3AD-DD43F3095411}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File FirewallRules: [{402FABFC-9DE6-4031-8453-22B21C165A22}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File FirewallRules: [{DE512BA0-4CA7-48AD-BE5D-57A884702543}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File FirewallRules: [{31E2FC7C-B119-4D17-AAC4-33A2E6807340}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File FirewallRules: [{6A723245-36EF-494C-B863-C8E4DB582627}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => No File FirewallRules: [{94BB54B6-CEBA-4B9F-9495-BB2EAC6A3A9A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => No File FirewallRules: [{ABE40CBA-633A-4277-A365-1D5AD7A8DF05}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => No File Reboot: End::
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Вроде страницы стали быстрее открываться.
Подтормаживания пока не вижу.
Надо некоторое время для теста.