Компьютер забит вирусами

[150700]

Компьютер забит вирусами

Доброго времени суток. При запуске компьютер запускал службу восстановления виндовс, которая не устраняла проблему выдавая ошибку. После обычного запуска вылезло сообщение с ошибкой яндекс браузера, что он сломался и его надо переустановить. Хром тоже не открывается. Есть подозрения что этот компьютер не трогали лет 7 на предмет вирусов. Прикрепил лог увс.

 

[Vvvyg]

Много мусора, устаревших программ, вирусов пока не видно..

Скопируйте скрипт из окна "код" ниже в буфер обмена:

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
deltmp
sfcall
del %SystemDrive%\USERS\ЛЕНА\DESKTOP\XPADDER - ЯРЛЫК.LNK
del %SystemDrive%\USERS\ЛЕНА\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\YANDEX.LNK
del %SystemDrive%\USERS\PUBLIC\DESKTOP\СКАЧАТЬ ATHEROS_AR813X_...LNK
delref %SystemDrive%\USERS\1288~1\APPDATA\LOCAL\TEMP\3FE05.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {3CCC052E-BDEE-408A-BEA7-90914EF2964B}\[CLSID]
delref {61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}\[CLSID]
delref {E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}\[CLSID]
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\TEMP\36FF0F1.SYS
delref %SystemRoot%\TEMP\3770B1E.SYS
delref %SystemRoot%\TEMP\37AF8D6.SYS
delref %SystemRoot%\TEMP\3A1A671.SYS
delref %SystemRoot%\TEMP\3AB5F41.SYS
delref %SystemRoot%\TEMP\3AE4C8D.SYS
delref %SystemRoot%\TEMP\3AE8696.SYS
delref %SystemRoot%\TEMP\3B7E980.SYS
delref %SystemRoot%\TEMP\3C30FCC.SYS
delref %SystemRoot%\TEMP\3CB3240.SYS
delref %SystemRoot%\TEMP\3D4D12D.SYS
delref %SystemRoot%\TEMP\3D7A457.SYS
delref %SystemRoot%\TEMP\3D7BF0E.SYS
delref %SystemRoot%\TEMP\3DA0B6F.SYS
delref %SystemRoot%\TEMP\3DB4F3E.SYS
delref %SystemRoot%\TEMP\3DE297D.SYS
delref %SystemRoot%\TEMP\3DFF8C7.SYS
delref %SystemRoot%\TEMP\3E0018C.SYS
delref %SystemRoot%\TEMP\3E00C3F.SYS
delref %SystemRoot%\TEMP\3E079A7.SYS
delref %SystemRoot%\TEMP\3E4A0EC.SYS
delref %SystemRoot%\TEMP\3E600BA.SYS
delref %SystemRoot%\TEMP\3EE0842.SYS
delref %SystemRoot%\TEMP\3EF6C31.SYS
delref %SystemRoot%\TEMP\3F16B6C.SYS
delref %SystemRoot%\TEMP\3F1E273.SYS
delref %SystemRoot%\TEMP\3F431BB.SYS
delref %SystemRoot%\TEMP\4005D6F.SYS
delref %SystemRoot%\TEMP\4046C5F.SYS
delref %SystemRoot%\TEMP\408B73E.SYS
delref %SystemRoot%\TEMP\40DB5BE.SYS
delref %SystemRoot%\TEMP\4101A85.SYS
delref %SystemRoot%\TEMP\412626E.SYS
delref %SystemRoot%\TEMP\414B6F6.SYS
delref %SystemRoot%\TEMP\4165E49.SYS
delref %SystemRoot%\TEMP\4190F81.SYS
delref %SystemRoot%\TEMP\41D3D46.SYS
delref %SystemRoot%\TEMP\42865FA.SYS
delref %SystemRoot%\TEMP\42A4EF1.SYS
delref %SystemRoot%\TEMP\4375785.SYS
delref %SystemRoot%\TEMP\43B49F2.SYS
delref %SystemRoot%\TEMP\43C93CC.SYS
delref %SystemRoot%\TEMP\43F83DE.SYS
delref %SystemRoot%\TEMP\4426904.SYS
delref %SystemRoot%\TEMP\4432B22.SYS
delref %SystemRoot%\TEMP\44578F8.SYS
delref %SystemRoot%\TEMP\450D85B.SYS
delref %SystemRoot%\TEMP\4572E07.SYS
delref %SystemRoot%\TEMP\461DF38.SYS
delref %SystemRoot%\TEMP\467E2D5.SYS
delref %SystemRoot%\TEMP\4681E30.SYS
delref %SystemRoot%\TEMP\46BC4A9.SYS
delref %SystemRoot%\TEMP\4818DA8.SYS
delref %SystemRoot%\TEMP\486882E.SYS
delref %SystemRoot%\TEMP\48A30C6.SYS
delref %SystemRoot%\TEMP\4922A4E.SYS
delref %SystemRoot%\TEMP\4A1CB8C.SYS
delref %SystemRoot%\TEMP\4A6121F.SYS
delref %SystemRoot%\TEMP\4A82C27.SYS
delref %SystemRoot%\TEMP\4ABBDE5.SYS
delref %SystemRoot%\TEMP\4AC0386.SYS
delref %SystemRoot%\TEMP\4B092D2.SYS
delref %SystemRoot%\TEMP\4B0CC1B.SYS
delref %SystemRoot%\TEMP\4B30599.SYS
delref %SystemRoot%\TEMP\4B49A24.SYS
delref %SystemRoot%\TEMP\4B95A45.SYS
delref %SystemRoot%\TEMP\4B99A02.SYS
delref %SystemRoot%\TEMP\4BBDB3A.SYS
delref %SystemRoot%\TEMP\4BD4AFC.SYS
delref %SystemRoot%\TEMP\4BFC5AD.SYS
delref %SystemRoot%\TEMP\4C4187C.SYS
delref %SystemRoot%\TEMP\4C45259.SYS
delref %SystemRoot%\TEMP\4C6BBCB.SYS
delref %SystemRoot%\TEMP\4C7D040.SYS
delref %SystemRoot%\TEMP\4DB07F3.SYS
delref %SystemRoot%\TEMP\4DE3512.SYS
delref %SystemRoot%\TEMP\4E6FEA8.SYS
delref %SystemRoot%\TEMP\4F3EDBF.SYS
delref %SystemRoot%\TEMP\4F6835C.SYS
delref %SystemRoot%\TEMP\4FDAE74.SYS
delref %SystemRoot%\TEMP\4FFB35B.SYS
delref %SystemRoot%\TEMP\51B9471.SYS
delref %SystemRoot%\TEMP\5378E26.SYS
delref %SystemRoot%\TEMP\5481BEC.SYS
delref %SystemRoot%\TEMP\571029A.SYS
delref %SystemRoot%\TEMP\58729EC.SYS
delref %SystemRoot%\TEMP\5A795D9.SYS
delref %SystemRoot%\TEMP\5AA2040.SYS
delref %SystemRoot%\TEMP\5B01C30.SYS
delref %SystemRoot%\TEMP\5B25C70.SYS
delref %SystemRoot%\TEMP\5F138B0.SYS
delref %SystemRoot%\TEMP\5F4A439.SYS
delref %SystemRoot%\TEMP\63B5144.SYS
delref %SystemRoot%\TEMP\649338C.SYS
delref %SystemRoot%\TEMP\64FE609.SYS
delref %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.3.314\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES\MYFREE CODEC\1.0B BETA\XVID-CORE\XVID.AX
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.423\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\NORTON INTERNET SECURITY\ENGINE\18.6.0.29\MCEEULA.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\SAMSUNG\KIES\EXTERNAL\FIRMWAREUPDATE\KIESPDLR.EXE
delref %SystemDrive%\USERS\ЛЕНА\DOWNLOADS\XPADDER 2013.07.18\XPADDER.EXE
delref %SystemDrive%\USERS\PUBLIC\DOWNLOADS\ATHEROS_AR813X_AR815X_AR816X_2.1.0.21_WHQL(1).EXE
apply
restart

Закройте все броузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится (дождитесь, процесс может быть длительным).
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Удалите давно неподдерживаемые вендором программы:
Adobe Flash Player 32 ActiveX
Adobe Flash Player 32 NPAPI
Adobe Flash Player 32 PPAPI
Adobe Shockwave Player 12.2

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.

Удалите предустановленные программы:
Cisco EAP-FAST Module
Cisco LEAP Module
Cisco PEAP Module

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

 

[150700]

Всё сделал прикрепил логи

 

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
Task: {EF130A1C-304C-4B7E-A865-A8B3FD1EDC1C} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Нет файла <==== ВНИМАНИЕ
Task: {EFBACFD5-888C-40B3-9912-12FB9BCC1C64} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Нет файла <==== ВНИМАНИЕ
Task: {F5DF9CE6-D8C7-44F3-9190-60633C7B41EF} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Нет файла <==== ВНИМАНИЕ
Task: {F814B35C-C704-4E69-8672-B66A78A3585C} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Нет файла <==== ВНИМАНИЕ
FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\dtplugin\npDeployJava1.dll [Нет файла]
CHR HKLM\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
CHR HKLM\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme]
CHR HKLM\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf]
CHR HKLM\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk]
CHR HKU\S-1-5-21-2264308020-3707377357-305138126-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
AlternateDataStreams: C:\ProgramData\TEMP:6C75AF4C [122]
AlternateDataStreams: C:\Users\Лена\Local Settings:wa [146]
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Нет файла
Toolbar: HKU\S-1-5-21-2264308020-3707377357-305138126-1000 -> Нет имени - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Нет файла
FirewallRules: [{F67426ED-7D9A-4519-9C6A-D6E9622DE355}] => (Allow) LPort=1542
FirewallRules: [{52BFB46B-1460-41DD-AF77-99833DB6ED7B}] => (Allow) LPort=1542
FirewallRules: [{AA073EB8-7A2A-4CC4-9D56-10F80AD6B638}] => (Allow) LPort=53
FirewallRules: [{915A28A0-CB0A-4DB6-82E2-CFA7C433C66C}] => (Allow) D:\комп\tor\uTorrent.exe => Нет файла
FirewallRules: [{3E414C79-C799-453E-A337-1C899E1593C2}] => (Allow) D:\комп\tor\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{C8A1381B-0CAC-40F9-B7DB-685EFAE1EDBD}C:\program files\zvu.com\extensions\mme@penta.info\resources\mme\data\lib\deluge\mme-deluged.exe] => (Block) C:\program files\zvu.com\extensions\mme@penta.info\resources\mme\data\lib\deluge\mme-deluged.exe => Нет файла
FirewallRules: [UDP Query User{A5693A2E-85C8-483F-8501-D1551AD3B7C8}C:\program files\zvu.com\extensions\mme@penta.info\resources\mme\data\lib\deluge\mme-deluged.exe] => (Block) C:\program files\zvu.com\extensions\mme@penta.info\resources\mme\data\lib\deluge\mme-deluged.exe => Нет файла
FirewallRules: [TCP Query User{FF2118FB-B10C-41EA-ABA0-D234969EAC7E}D:\mortal kombat\disccontentpc\mkke.exe] => (Block) D:\mortal kombat\disccontentpc\mkke.exe => Нет файла
FirewallRules: [UDP Query User{EB2E13E0-8A6E-45ED-9C27-715769CA1BE9}D:\mortal kombat\disccontentpc\mkke.exe] => (Block) D:\mortal kombat\disccontentpc\mkke.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

[150700]

Прошу прощения за задержку с ответом. Вот лог

 

[Vvvyg]

Выполните скрипт в uVS:

cexec wevtutil.exe epl System system.evtx
cexec wevtutil.exe epl Application Application.evtx
cexec wevtutil.exe epl Security Security.evtx
exec .\7zip\7za a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx

В папке с UVS появится архив Events.7z, если не влезет во вложения, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

 

[150700]

появился только обычный лог.

 

[Vvvyg]

В папке с UVS появились файлы system.evtx, Application.evtx, Security.evtx?
Если да - упакуйте и выложите.

 

[150700]

Собрал и приложил

 

[Vvvyg]

Судя по журналам событий, компьютер проблемный, много записей о некорректном завершении работы, ошибках приложений и т. п.
При этом явных причин этому не видно, проверять надо и железо, и систему. В общем, проблемы не по теме этого раздела.

 

[150700]

хорошо, спасибо