Доброе время суток!
Я - профан в области ПО и компьютерной безопасности. Поэтому прошу вашей профессиональной помощи. Компьютер последнее время начал подтормаживать. Я подозреваю, что в нём поселилось много постороннего. Прошу подсказать, что можно и нужно удалить.
Логи прилагаю.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\4673125aq', '');
DeleteFile('C:\WINDOWS\Tasks\At1.job', '32');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\4673125aq', '32');
DeleteFileMask('C:\DOCUME~1\9335~1\LOCALS~1\Temp', '*.*', true);
DelBHO('{D5FEC983-01DB-414a-9456-AF95AC9ED7B5}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.



Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xn----etbbilbdlej3ce8a0e.xn--p1ai/
O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)


Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".



Скачайте AdwCleaner (by Xplode) (http://general-changelog-team.fr/en/downloads/finish/20-outils-de-xplode/2-adwcleaner) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

Выполнил.

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
По окончанию сканирования отметьте галочками следующие строки:

***** [ Службы ] *****

Служба Найдено : STI Simulator

***** [ Файлы / Папки ] *****


Папка Найдено : C:\Documents and Settings\Администратор\Application Data\pdfforge


***** [ задачи ] *****


***** [ Ярлыки ] *****


***** [ Реестр ] *****


Ключ Найдено : HKCU\Software\Conduit
Ключ Найдено : HKCU\Software\IM
Ключ Найдено : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{91397D20-1446-11D4-8AF4-0040CA1127B6}
Ключ Найдено : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D5FEC983-01DB-414A-9456-AF95AC9ED7B5}
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}
Ключ Найдено : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\inethnfd
Ключ Найдено : HKLM\SOFTWARE\Video Player
Ключ Найдено : HKLM\SOFTWARE\VideoPlayerV3



*если не используете daemon tools toolbar и MGShareware то отметьте так же эти строчки:
Ключ Найдено : HKLM\SOFTWARE\dt soft\daemon tools toolbar
Ключ Найдено : HKLM\SOFTWARE\MGShareware

*alavar - Если это не используете - так же отметьте галочками содержащие это слово строки.


Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

Подготовьте лог fixserbro (http://safezone.cc/resources/fixerbro.106/)

Скачайте Universal Virus Sniffer (http://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS. (http://safezone.cc/threads/14508/#post-79351)

Выполнил, кроме лога FixerBro. При попытке скачать его появляется сообщение о том, что файл не может быть сохранен, так как исходный файл не может быть прочтен. И антивирус блокирует сайт или файл. Скрин прилагаю.

a-lex61, кроме лога FixerBro. При попытке скачать его появляется сообщение о том, что файл не может быть сохранен, так как исходный файл не может быть прочтен. И антивирус блокирует сайт или файл. Скрин прилагаю. »
Отключите антивирус и попробуйте снова,ничего плохого по указанной мной ссылке вы не скачаете.

Эти адреса вам знакомы?
HTTP://IFIREWORK.RU/
HTTP://XN----ETBBILBDLEJ3CE8A0E.XN--P1AI/
http://xn--80aab3akjjes6f.xn--p1ai/
бормашинка.рф
Если вы их сами не добавляли в настройки браузера то закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v3.85 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
breg
delref {DFBEB35B-444D-4F25-8D7D-EB2683C206EC}\[CLSID]
delref HTTP://IFIREWORK.RU/
delref HTTP://XN----ETBBILBDLEJ3CE8A0E.XN--P1AI/
deltmp


В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/14509/#post-79352).


Выполните проверку целостности системных файлов (http://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/),лог покажите.

Как проблема?

Добрый вечер!
Проверку целостности системных файлов сделать не смог. Стоит неизвестно-чья-сборка.
Сейчас немного поюзаю комп, проверю, нет ли глюков.

При попытке запустить IE появляется вкладка "бормашинка.рф". При попытке открыть эту вкладку IE закрывается.

unity web player - это ваше?

Отключите следующие расширения:
Video Player
Desktopy

Выполните скрипт avz:
begin
ExpRegKey('HKEY_LOCAL_MACHINE','Software\Policies\Chromium','chrome.reg');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\Policies\Chromium');
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Malwarebytes' Anti-Malware (http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe) или с зеркала (http://safezone.cc/resources/90/). Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe), зеркало обновлений MBAM (http://safezone.cc/resources/87/).
Подробнее читайте в руководстве. (http://safezone.cc/threads/16050)

В Firefox установлен плагин unity player. Скорее всего ребенок установил с какой-нибудь игрушкой. Удалить его?
Расширений Video Player и Desktopy не нашел.

По ощущениям компьютер стал работать быстрее. Только вот "бормашинка.рф" никуда не делась. Хотя на этом компе никто не пользуется IE, поэтому это не сильно мешает.
Уважаемый Koza Nozdri, вы уже можете назвать "диагноз"? В смысле как много у меня было (есть?) всякого опасного/ненужного?

Удалить его? »
Да.


По ощущениям компьютер стал работать быстрее. Только вот "бормашинка.рф" никуда не делась. Хотя на этом компе никто не пользуется IE, поэтому это не сильно мешает.
Уважаемый Koza Nozdri, вы уже можете назвать "диагноз"? В смысле как много у меня было (есть?) всякого опасного/ненужного? »
Была подмена hosts,много adware.

Наличие бормашинки в ie свидетельствует о том,что либо остались хвосты,либо не все нашли.
Поэтому рекомендую не пропадать,найдем думаю.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.
На время работы утилиты отключите антивирус.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Добрый день!
рекомендую не пропадать,найдем думаю. »
Спасибо за внимание к моей теме!

Shortcut пришлось упаковать.

ну вот,нашелся.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
start
HKU\S-1-5-21-1645522239-507921405-725345543-500\...\MountPoints2: {e572cc24-3f15-11de-af8c-001fc6b95c3a} - L:\ntde1ect.com
HKU\S-1-5-21-1645522239-507921405-725345543-500\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://ifirework.ru/
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File
CHR HKLM\...\Chrome\Extension: [dgogioacpncjcpoehbgjommaonfampmi] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta439\ch\VideoPlayerV3beta439.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - No Path
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').


После перезагрузки сообщите какие проблемы остались.

Далее закроем уязвимости:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Жду.

Действительно, "бормашинка" пропала. Но при попытке открыть новую вкладку все в том же IE - он закрывается. Может это проблема в самом эксплорере?

Установите обновления по ссылкам avz_log.txt
По поводу проблем explorer - переустановите,заменив на свежую версию
http://support.microsoft.com/kb/318378/ru

Рекомендации после удаления вредоносного ПО (http://safezone.cc/threads/rekomendacii-posle-udalenija-vredonosnogo-po.16715/)

Добрый день!
Спасибо огромное за все ваши советы! Очень приятно, что уделили мне время.
Все обновил, проблем не наблюдаю. Тему можно закрывать.
Koza Nozdri, удачи вам!

a-lex61, кое что забыли сделать:
1) Удалите mbam
2) Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157905).


p.s. Если вы уже удалили эти программы - хорошо.