Тормозит жутко из-за вируса

[zullwern]

Тормозит жутко из-за вируса

У меня такое уже было, запись на диск идёт 100%, даже когда я ничего не делаю. Это вирус. Вот логи
AVZ - Посмотреть вложение avz_log.txt
uVS - Посмотреть вложение USER-ПК_2017-09-24_11-47-35.7z

 

[mike 1]

Здравствуйте.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.6 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   breg
   
   exec C:\Users\user\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
   exec C:\Users\user\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
   exec32 "C:\Program Files (x86)\Dll-Files.com Fixer\unins000.exe" /silent
   zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CPPREDISTX86.EXE
   zoo %SystemDrive%\USERS\USER\DOCUMENTS\DYINGLIGHT\OUT\SETTINGS\VIDEO.SCR
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
   delref KERNCAP.VBS
   delall %SystemDrive%\PROGRAM FILES (X86)\DLL-FILES.COM
   delall %SystemDrive%\USERS\PUBLIC\DESKTOP\DLL-FILES FIXER.LNK
   delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\BHJCGOMKANPKPBLOKEBECKNHAHGKCMOO\2.0.4.11_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
   delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\BACKUP DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\2.0.3.11_1\СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_2\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\CPPREDISTX86.EXE
   delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\DLL-FILES FIXER.LNK
   deltmp
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. На запросы удаления программ соглашайтесь.
7. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на почту mike1@avp.su с указанием ссылки на тему и темой карантин

• Скачайте отсюда Malwarebytes' Anti-Malware или с зеркала.
• Установите MBAM с настройками по умолчанию.
• После установки в главном окне программы, выберите "Параметры".
• В параметрах перейдите на вкладку "Личный кабинет" и нажмите на кнопку "Деактивировать ознакомительную премиум версию".
• При появлении окошка предупреждения, нажмите "Yes".
• Обновите базы, выберите "Проверка" => "Выборочное сканирование", нажмите "Настроить сканирование".
• Сделайте настройки как показано на рисунке ниже:
• Для сканирование отметьте все доступные диски и нажмите "Запустить проверку"
  
  Самостоятельно ничего не удаляйте!!!.
  
• По окончанию проверки, нажмите на кнопку "Сохранить результаты проверки", результат проверки сохраните в текстовой файл.
• Сохраните лог на рабочий стол.
• Прикрепите этот лог к следующему вашему сообщению.

 

[zullwern]

В папке uVS появилась папка ZOO там два файла в ней было, но без даты. Вот они: Посмотреть вложение 373133
А текстовый файл с датой появился вне папки ZOO, вот он:Посмотреть вложение 373134
Лог мбам смогу только завтра скинуть

 

[mike 1]

Папку ZOO упакуйте в архив с паролем infected и отправьте мне на почту.

 

[safety]

+ этот файл для удаления.

Полное имя C:\WINDOWS\MICROSOFT\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную]

Обнаруженные сигнатуры
Сигнатура RuKometa (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2017-05-23

www.virustotal.com 2017-09-04
Symantec Trojan.Gen.2
Kaspersky Trojan.Win32.SelfDel.fjir
BitDefender Gen:Variant.Graftor.371906
Avast Win32angerousSig [Trj]
DrWeb Trojan.Siggen7.22031
Microsoft Trojan:Win32/Mupad
ESET-NOD32 a variant of Win32/Adware.RuKoma.F

Сохраненная информация на момент создания образа
Статус ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id 591AE237273000
Linker 10.0
Размер 2553568 байт
Создан 27.04.2017 в 15:16:47
Изменен 22.05.2017 в 19:01:24
Атрибуты СКРЫТЫЙ СИСТЕМНЫЙ R/O

TimeStamp 16.05.2017 в 11:27:51
EntryPoint +
OS Version 5.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано "LLC ""Master-Sintez"""

Оригинальное имя
Версия файла 1.286
Описание SvcHost Service Host
Производитель

Доп. информация на момент обновления списка
SHA1 37DCF0D7CA7FBE8A3EF2C710994F7B6AEF5B1772
MD5 A30713271C6B283C39AEEBA45C37ADCF

Ссылки на объект
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

 

[zullwern]

Секундочку, я не понял, что мне делать с этой информацией?)

 

[safety]

ответ в первой строке.

+ этот файл для удаления.
C:\WINDOWS\MICROSOFT\SVCHOST.EXE

 

[zullwern]

Было все нормально когда удалил, но спустя время опять диск загружается на 100%, посмотрите логи пожалуйста:
Посмотреть вложение USER-ПК_2017-10-11_07-49-40.7z - Uvs

 

[mike 1]

Лог мбам смогу только завтра скинуть

???..................