Решена Тормозит браузер при загрузке страниц, при проверке Dr.Web и AVG Internet Security выключался комп.

[ДимДим]

ФАЙЛЫ И ЛОГИ

 

[Сашка]

1/ В логе сканирования Hijackthis отметьте:

O2 - BHO: TubeSaver - {57F2FC14-BE99-4DFB-B9F1-2458A4F496AB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{224A0B27-38B5-4C0A-8EA5-A1D24557067C}: NameServer = 37.157.255.228

нажмите "Fix checked". если пропадет подключение к интернету - в настройках сети - ipv4 - свойства - dns вручную пропишите dns своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4

2/ Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт - Нажать кнопку Запустить.

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFileF('C:\Program Files\Ls', '*', true, '', 0, 0);
 DeleteFile('C:\Documents and Settings\Dmitriy\Local Settings\Application Data\Google\Chrome\Application\chrome.url','32');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url','32');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\expmon');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

На время выполнения скрипта все сетевые подключения будут закрыты. После окончания компьютер перезагрузится. После перезагрузки выполнить второй скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

3/ Сделайте новые логи AVZ (cт скрипт 2) и RSIT

4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

при проверке Dr.Web и AVG Internet Security выключался комп

на каких температурах это происходит?

 

[ДимДим]

Сашка (нет лучше Александр) я все сделал высылаю отчеты ... вот с температурой я лопухнулся...надо почистить и продуть..... мне непонятны 2 момента
1. (цитирую Вас) "нажмите "Fix checked". если пропадет подключение к интернету - в настройках сети - ipv4 - свойства - dns вручную пропишите dns своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4" (где и что нажимать в этом случае?)

2. тоже цитирую
"В логе сканирования Hijackthis отметьте:
O2 - BHO: TubeSaver - {57F2FC14-BE99-4DFB-B9F1-2458A4F496AB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{224A0B27-38B5-4C0A-8EA5-A1D24557067C}: NameServer = 37.157.255.228"
Вы уж извините меня в силу моего возраста ... за глупые вопросы не понимаю зачем менять в логе то что уже написано ?
с ув.

 

[thyrex]

Затем, что это вредоносные записи

 

[ДимДим]

Креплю логи в своей теме на форуме
с ув

 

[Сашка]

3/ Сделайте новые логи AVZ (cт скрипт 2)
4. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

это тожесудя по новому логу HJT первый пункт вы пропустили

1/ В логе сканирования Hijackthis отметьте:
O2 - BHO: TubeSaver - {57F2FC14-BE99-4DFB-B9F1-2458A4F496AB} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{224A0B27-38B5-4C0A-8EA5-A1D24557067C}: NameServer = 37.157.255.228
нажмите "Fix checked". если пропадет подключение к интернету - в настройках сети - ipv4 - свойства - dns вручную пропишите dns своего провайдера или публичные - 8.8.8.8 alt 8.8.4.4

Как "пофиксить" в HiJackThis

 

[ДимДим]

Благодарю за ответ отсылаю отчет по Malwarebytes
с ув.
делаю по AVZ и Hijackthis

 

[Сашка]

Это все потенциально нежелательное ПО (показывающее рекламу и прочий мусор):

Обнаруженные ключи в реестре: 16
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Действие не было предпринято.
HKCR\CLSID\{57F2FC14-BE99-4DFB-B9F1-2458A4F496AB} (PUP.Optional.TubeSaver.A) -> Действие не было предпринято.
HKCR\TypeLib\{BE79F373-60A9-4E24-A004-CF22E19D968C} (PUP.Optional.TubeSaver.A) -> Действие не было предпринято.
HKCR\Interface\{752080F8-4900-43DC-91AF-29F9BD42BA5A} (PUP.Optional.TubeSaver.A) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{57F2FC14-BE99-4DFB-B9F1-2458A4F496AB} (PUP.Optional.TubeSaver.A) -> Действие не было предпринято.
HKCR\CLSID\{DF84E609-C3A4-49CB-A160-61767DAF8899} (PUP.Optional.WebCake.A) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66} (PUP.DealPly) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2A5A2A90-3B30-4E6E-A955-2F232C6EF517} (PUP.WebCake) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (PUP.Optional.Tarma.A) -> Действие не было предпринято.
HKCU\SOFTWARE\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Действие не было предпринято.
HKCU\Software\delta LTD (PUP.Optional.Delta.A) -> Действие не было предпринято.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Действие не было предпринято.
HKCU\SOFTWARE\INSTALLCORE (PUP.Optional.InstallCore.A) -> Действие не было предпринято.
HKLM\SOFTWARE\babylontoolbar (PUP.Optional.Babylon.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKCU\Software\InstallCore|tb (PUP.Optional.InstallCore.A) -> Параметры: 0M1S1H1K2U -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|bProtectTabs (PUP.Optional.BrowserProtect.A) -> Параметры: http://www.delta-search.com/?babsrc...60BAB2&affID=120695&tt=040713_xmlful&tsp=4934 -> Действие не было предпринято.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 17
C:\Documents and Settings\Dmitriy\Application Data\Babylon (PUP.Optional.Babylon.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\DealPlyLive\Update (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\DealPlyLive\Update\Log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Dealply (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Dealply\UpdateProc (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Program Files\DealPlyLive\CrashReports (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504} (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Cache (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution\CR (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution\Shared (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Local Settings\Application Data\DealPlyLive (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Local Settings\Application Data\DealPlyLive\CrashReports (PUP.Optional.DealPly.A) -> Действие не было предпринято.

Обнаруженные файлы: 42
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.exe (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130901225453234.rsc (PUP.Optional.Softonic) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130916081307734.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130916143215984.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130922100023189.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130923183515437.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\131014084114015.rsc (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\131015133535765.rsc (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\131023204132906.rsc (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\131026041134380.rsc (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130810035520640.rsc (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130826184248734.rsc (PUP.Optional.AdLyrics) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130906180552734.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130907142902248.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130910191613406.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130913205638578.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130914133448246.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130917215217625.rsc (PUP.Optional.CRX.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130919100449328.rsc (PUP.Optional.Softonic) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\131102122850709.rsc (PUP.Optional.Softonic.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130816153312750.rsc (PUP.Optional.TubeSaver.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Boost Speed\130926004532953.rsc (PUP.Optional.Softonic) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Auslogics\Rescue\Track Eraser\130902085501375.rsc (PUP.Optional.TubeSaver.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Мои документы\Downloads\Programs\Сталинград.exe (PUP.Optional.InstallMonster) -> Действие не было предпринято.

C:\Documents and Settings\Dmitriy\Application Data\Babylon\log_file.txt (PUP.Optional.Babylon.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\DealPlyLive\Update\Log\DealPlyLive.log (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Dealply\UpdateProc\config.dat (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\Dealply\UpdateProc\TTL.DAT (PUP.Optional.DealPly.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.dat (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\Setup.ico (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setup.dll (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\All Users.WINDOWS\Application Data\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll (PUP.Optional.Tarma.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution\Shared\chu.js (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution\Shared\Delta.ico (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution\Shared\GUninstaller.exe (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution\Shared\SetupParams.ini (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\BabSolution\Shared\sqlite3.dll (PUP.Optional.BabSolution.A) -> Действие не было предпринято.
C:\Documents and Settings\Dmitriy\Application Data\OpenCandy\hamsterfreeziparchiver.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

поэтому если не пользуетесь, можете удалить. Dealply, BabSolution сначала желательно удалить через программы и компоненты.

После этого сделайте новые логи AVZ

3/ Сделайте новые логи AVZ (cт скрипт 2)

и HijackThis

 

[ДимДим]

Благодарю
я какую то фигню натворил после малвара сделал авз потом HijackThis ....и пункты 01 и 017 у меня вовсе исчезли

 

[Сашка]

01 и 017 у меня вовсе исчезли

02 или 01?

если вы се сделали по инструкции, они и должны исчезнуть.

логи выложите

 

[ДимДим]

Выкладываю

 

[Сашка]

карантина так и нет.

в этой папке что находится?
C:\Program Files\Ls

 

[ДимДим]

Доброе утро
Благодарю за помощь
папка LS пустая
высылаю карантин... но папка пустая....ещё один тупой вопрос ...Вы писали выше что " Dealply, BabSolution сначала желательно удалить через программы и компоненты". а где их найти и как удалить извините ещё раз за тупость

с ув.

 

[akok]

Карантин пуст и удален.

 

[Сашка]

Dealply, BabSolution сначала желательно удалить через программы и компоненты

пуск - панель управления - программы и компоненты

 

[ДимДим]

Благодарю Всех ... вроде все заработало, я так и не понял, что было..... а удалять Dealply, BabSolution не знаю как, так, как в панели управления категории "программы и компоненты" нет... есть только "установка и удаление программ" а в этой категории этих Dealply, BabSolution нет.
всем удачи
с ув.

 

[Сашка]

нет значит нет. проблема решена?