Товарищ притащил ноут. Тупит виснет просто жесть.

[Антон Пугачёв]

Здравствуйте. Товарищ притащил ноут. Тупит виснет просто жесть. Отключил лишние загрузки и службы. Нашел пару странных программ типа Amigo, которые цепляются к установщикам. Вроде удалил все. Удалил также файлы Zaxar. ПК немного очухался, но все равно работал медленно. Нодом проверил на вирусы. Еще удалил какую-то часть. Браузер Google не работал нормально - выходило куча рекламы, куда не ткни - выкидывает на сторонние сайты (Nod блокировал называл вирус Adware.Pbot). Пытался найти его сам, но видать название постоянно меняет, в диспетчере не отображается. 

С телефона нашел Этот пост.

Выполнил манипуляции с программой AdwCleaner  как написано тут, заработал браузер, но как-то не совсем правильно (не могу шрифт на обычный изменить, цифры при регистрации не вижу и тп). Но после загрузки винды ПК все равно подтормаживает некоторое время

дальше что делать не разобрался.

Не могли бы вы помочь? заранее спасибо

 

Asus x751L: core i3 2,1 Ггц, видео GF 920m, ОЗУ 4 Гб (3,87), W10 x 64

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

[Mark D. Pearlstone]

Не выполняйте то, что написано не для вас.

Порядок оформления запроса о помощи

[Антон Пугачёв]

Скачал Dr.Web CureIt!. нашел еще 2 вируса. 

Скачал AutoLogger но он не работает... скрин ошибки в приложении. Что не так делаю?

 

При включенном инете и отключенном Nod ESS активно начинает работать вирус, что выражается в загруженности диска в диспетчере

[Sandor]

Что не так делаю?

Вы его не из архива запускаете? Уточню, нужно извлечь из архива (распаковать).

Попробуйте запустить из корня диска, т.е. - C:\Autologger.exe

[regist]

@Антон Пугачёв,

+ попробуйте собрать этой версией.

[Антон Пугачёв]

второй вариант запустился 

CollectionLog-2018.02.21-21.10.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\User\AppData\Local\3B1ADB~1\{496F5~1.', '');
 QuarantineFileF('C:\Users\User\AppData\Local\3B1ADB~1\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\User\AppData\Local\3B1ADB~1\{496F5~1.', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "{9E410F94-7403-80E9-DA69-BD4DCFA3D319}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "BBE4E390-0AB8-4296-F025-C8953DFA7772" /F', 0, 15000, true);
 DeleteFileMask('C:\Users\User\AppData\Local\3B1ADB~1\', '*', true);
 DeleteDirectory('C:\Users\User\AppData\Local\3B1ADB~1\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Удалите остатки аваста https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{4fad77ce-0b7e-4fba-9871-6c9e7728cd6e}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{4fad77ce-0b7e-4fba-9871-6c9e7728cd6e}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{7d96f987-a147-451b-ad5b-8f39e93756c3}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{7d96f987-a147-451b-ad5b-8f39e93756c3}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{97c90dda-c90f-413c-9ffd-452c124d1328}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{97c90dda-c90f-413c-9ffd-452c124d1328}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\..\{b05fb773-6b8b-4630-b0fb-9fc774550a56}: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\..\{b05fb773-6b8b-4630-b0fb-9fc774550a56}: [NameServer] = 82.163.143.176
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.142.178
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [NameServer] = 82.163.143.176
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

[Антон Пугачёв]

спасибо за ответ. 

1.  Программа AVZ, которую скачал с сайта не работает (снимок 3). Все делал версией, что рекомендовали выше от 21 Февраль 2018 - 02:36.

2.  Загрузить на сайт файл не получилось файл занимает 398 Мб. Пробовал с разных компов и по нескольку раз - результат один и тот же (снимок 4).

3.  Выполнил указанный скрип в AVZ. Отправил файл по почте. Ответ в приложении (отчет из лаборатории).

 

 

отчет из лаборатории.txt

[regist]

1) не надо ничего отдельно качать (если только вас не попросили об этом). AVZ есть в папке с Автологером.

2) закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

Жду выполнения остальных пунктов.
Удаление остатков Аваст, фикс в Хиджак и свежие логи.
 

[Антон Пугачёв]

4. ссылка на virusinfo_auto_DESKTOP-9028KHO: https://yadi.sk/d/620qbhxk3ShNnj

5. Я не знаю какой версии Аваст был, думал хозяин компа тоже не в курсе какую ставил (чистил 2 раза)

6. фикс в Хиджак сделал

7. Свежий лог в приложении

CollectionLog-2018.02.23-01.58.zip

[regist]

4) Я просил в ЛС.

7) Логи не полные, похоже по таймауту обрезало.

 

Сделайте вместо него такой лог.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 23 февраля, 2018 пользователем regist

[Антон Пугачёв]

1.  AutorunsVTchecker запустил

2. А вот с Universal Virus Sniffer (uVS) опять проблема... при распаковки архива сначала выдает ошибку (снимок 6), потом говорит, что файл уже существует (снимок 7) он и правда там уже есть... Ну и приложение само не запускается (файл поврежден!! запустите вирус-chek, затем переустановите приложение) (снимок 7).

 

Запускать пытался несколько раз... И пропускал ошибки при разархивировании, удалял файл DOC, скачивал архив заново - одно и то же... 

Такое ощущение, что шрифты на компе полетели (иногда абракадабру пишет вместо нормальных слов)

 

 

файл поврежден запустите вирус-chek, затем переустановите приложение

[regist]

@Антон Пугачёв, попробуйте запускать из папки в пути к которой нет русских букв.
Из-за того, что у вас язык для неюникодных программ стоит англ. похоже происходят эти глюки. А ещё лучше возьмите временно и в языковых настройках смените его на русский. Может и остальные глюки уйдут.

А по поводу папки Doc она вообще не обязательна, там справка к утилите находится, так что для работы утилиты не нужна (и вам не требуется).

Изменено 24 февраля, 2018 пользователем regist

[Антон Пугачёв]

1.Я не знаю как поменять язык для неюникодовских программ. Погуглил, что-то потыкал. Написал английской раскладкой название папки с программами,что скачивал по Вашим ссылкам. Решил проверить на программе AutoLogger. он нормально запустился сделал лог. Я проложил его, что добру пропадать)))

 

2.uvs тоже запустилась после манипуляций, описанных выше. Лог в приложении. 

DESKTOP-9028KHO_2018-02-25_00-02-49.7z

CollectionLog-2018.02.24-23.55.zip

[regist]

My-top-apps, версия 1.0 - если не знакомо/не нужно, то тоже удалите.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MY-TOP-APPS\37\НАЙТИ.EXE
   delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
   delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MY-TOP-APPS\MY-TOP-APPS.EXE
   zoo %SystemDrive%\PROGRAMDATA\36DE0D92-3345-0\36DE0D92-3345-0.D
   delall %SystemDrive%\PROGRAMDATA\36DE0D92-3345-0\36DE0D92-3345-0.D
   zoo %SystemDrive%\PROGRAMDATA\4DBD69DB-0E91-1\4DBD69DB-0E91-1.D
   delall %SystemDrive%\PROGRAMDATA\4DBD69DB-0E91-1\4DBD69DB-0E91-1.D
   zoo %SystemDrive%\PROGRAMDATA\4DBD69DB-2B43-1\4DBD69DB-2B43-1.D
   delall %SystemDrive%\PROGRAMDATA\4DBD69DB-2B43-1\4DBD69DB-2B43-1.D
   zoo %SystemDrive%\PROGRAMDATA\4DBD69DB-3AD3-0\4DBD69DB-3AD3-0.D
   delall %SystemDrive%\PROGRAMDATA\4DBD69DB-3AD3-0\4DBD69DB-3AD3-0.D
   zoo %SystemDrive%\PROGRAMDATA\4DBD69DB-58F3-0\4DBD69DB-58F3-0.D
   delall %SystemDrive%\PROGRAMDATA\4DBD69DB-58F3-0\4DBD69DB-58F3-0.D
   zoo %SystemDrive%\PROGRAMDATA\4DBD69DB-77E7-0\4DBD69DB-77E7-0.D
   delall %SystemDrive%\PROGRAMDATA\4DBD69DB-77E7-0\4DBD69DB-77E7-0.D
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&FR=NTG&PRODUCT_ID=%7B5F909D0E-6EF4-4DFD-B566-1B31EE0725A5%7D&GP=811610
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\17.11.0.2191\SERVICE_UPDATE.EXE
   zoo %SystemDrive%\PROGRAMDATA\{24F02EBA-212C-0}\{24F02EBA-212C-0}.D
   delall %SystemDrive%\PROGRAMDATA\{24F02EBA-212C-0}\{24F02EBA-212C-0}.D
   zoo %SystemDrive%\PROGRAMDATA\{3ED50F6E-712C-0}\{3ED50F6E-712C-0}.D
   delall %SystemDrive%\PROGRAMDATA\{3ED50F6E-712C-0}\{3ED50F6E-712C-0}.D
   zoo %SystemDrive%\PROGRAMDATA\{49536BAB-212C-1}\{49536BAB-212C-1}.D
   delall %SystemDrive%\PROGRAMDATA\{49536BAB-212C-1}\{49536BAB-212C-1}.D
   zoo %SystemDrive%\PROGRAMDATA\{6939557B-612C-1}\{6939557B-612C-1}.D
   delall %SystemDrive%\PROGRAMDATA\{6939557B-612C-1}\{6939557B-612C-1}.D
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
7. Полученный архив отправьте по адресу newvirus@kaspersky.com
8. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

что с проблемой?