Показано с 1 по 13 из 13.

Программы сами устанавлиаются при включенном интернете. (заявка № 193309)

  1. #1
    Junior Member Репутация
    Регистрация
    23.11.2015
    Сообщений
    7
    Вес репутации
    4

    Программы сами устанавлиаются при включенном интернете.

    Здравствуйте, с недавнего времени на ноутбуке сами устанавливаются программы, открываются непрошенные окна. Нахваталась куча всего. Прошу вас помочь вылечить компьютер. Все лог-файлы сделал по инструкции.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,267
    Вес репутации
    326
    Уважаемый(ая) Dm1, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    23.11.2015
    Сообщений
    7
    Вес репутации
    4
    С радостью поддержал проект, ушло через paypal.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,805
    Вес репутации
    779
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp');
     TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp');
     TerminateProcessByName('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp');
     TerminateProcessByName('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp');
     StopService('gilefywi');
     StopService('guqilome');
     StopService('higumefe');
     StopService('kiqidetu');
     QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp', '');
     QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp', '');
     QuarantineFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp', '');
     QuarantineFile('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp', '');
     QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.emorhc.bat', '');
     QuarantineFile('C:\ProgramData\aneamnvmzau\UjD5.bat', '');
     QuarantineFile('C:\Users\User\AppData\Roaming\Browsers\exe.resworb.bat', '');
     QuarantineFile('C:\Users\User\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
     QuarantineFile('C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF.exe', '');
     QuarantineFile('C:\WINDOWS\svchost.exe', '');
     DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\hnsy1843.tmp', '32');
     DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\jnsaea5b.tmp', '32');
     DeleteFile('c:\program files (x86)\42fe4f80-1447153817-141c-8111-470c3da49e2c\knskefff.tmp', '32');
     DeleteFile('c:\users\user\appdata\local\42fe4f80-1447164918-141c-8111-470c3da49e2c\snsv4c79.tmp', '32');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.10.16434.218\QMUdisk64.sys', '32');
     DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
     DeleteFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe', '32');
     DeleteFile('C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF.exe', '32');
     DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32');
     DeleteFile('C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe', '32');
     DeleteService('gilefywi');
     DeleteService('guqilome');
     DeleteService('higumefe');
     DeleteService('kiqidetu');
     DeleteService('QMUdisk');
     DeleteFileMask('C:\Program Files (x86)\Tencent', '*', true);
     DeleteFileMask('C:\Program Files (x86)\Zaxar', '*', true);
     DeleteFileMask('C:\Users\User\AppData\Local\SmartWeb', '*', true);
     DeleteFileMask('C:\Users\User\AppData\Local\Mail.Ru', '*', true);
     DeleteFileMask('C:\Program Files (x86)\globalUpdate', '*', true);
     DeleteFileMask('C:\Program Files (x86)\SwiftSearch_1.10.0.25', '*', true);
     DeleteDirectory('C:\Program Files (x86)\Tencent');
     DeleteDirectory('C:\Program Files (x86)\Zaxar');
     DeleteDirectory('C:\Users\User\AppData\Local\SmartWeb');
     DeleteDirectory('C:\Users\User\AppData\Local\Mail.Ru');
     DeleteDirectory('C:\Program Files (x86)\globalUpdate');
     DeleteDirectory('C:\Program Files (x86)\SwiftSearch_1.10.0.25');
     DelBHO('{b90183ad-1cf4-4d7b-9461-b89083957547}');
     DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
     ExecuteFile('schtasks.exe', '/delete /TN "91bgyKgmjqRSpMvPpjvsoAzF" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Core" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "SwiftSearch Auto Updater 1.10.0.25 Pending Update" /F', 0, 15000, true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ZaxarLoader');
    ExecuteSysClean;
     ExecuteRepair(23);
     ExecuteRepair(4);
     ExecuteRepair(3);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Выполните в AVZ скрипт:
    Код:
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

    Сделайте лог AdwCleaner (by Xplode).

    Сделайте лог Check Browsers' LNK.
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    23.11.2015
    Сообщений
    7
    Вес репутации
    4

    Готова первая часть

    - virusinfo_syscheck.zip

    - - - - -Добавлено - - - - -

    выполнена
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,805
    Вес репутации
    779
    Выполните скрипт в AVZ:
    Код:
    begin
     DeleteFile('C:\WINDOWS\svchost.exe','32');
    ExecuteSysClean;
    end.
    Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Запустите повторно AdwCleaner (by Xplode) Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования если есть почта на Mail.Ru и/или используете программы от этого портала уберите галочки на вкладках Папки (Folders), Реестр (Registry) и вкладках браузеров со всех пунктов, где упоминаются Mail.Ru.
    В пункте меню "Настройки" (Settings) уберите галочку "Сброс настроек Winsoсk" и установите галочку "Сброс политик Chrome".
    Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

    Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемами.
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    23.11.2015
    Сообщений
    7
    Вес репутации
    4
    Готово...
    Вложения Вложения
    Последний раз редактировалось Dm1; 24.11.2015 в 22:50.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,805
    Вес репутации
    779
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
    WBR,
    Vadim

  10. Vvvyg получил(а) благодарность за это сообщение от

    Dm1

  11. #9
    Junior Member Репутация
    Регистрация
    23.11.2015
    Сообщений
    7
    Вес репутации
    4
    Отчет прикрепил. Проверил интернет, скайп, все отлично работает. Лишних программ не появляется. Благодарю вас!
    Вложения Вложения
    • Тип файла: zip logs.zip (31.8 Кб, 1 просмотров)

  12. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,805
    Вес репутации
    779
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
    HKLM-x32\...\Run: [InstallUpdate] => 0
    HKU\S-1-5-21-1044145726-693272282-3404711166-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoL2Ynwaj2M8Hlaqve6vrGm4YMvqZVfZDkYDy3BGydq69Z_RwWg_khRNmmOGYovhuWdcW9Z_1Z4KXa-D4BYXr0jYPNopJWpgxA9lgrmT-4EXmDZJW5CcfxJDYsO_bp494SbC_WB_BgW5LBRp4I&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
    SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446923102&z=84e94a886dc52937b843560g0z8zeqat5o7c4g2edo&from=amt&uid=st1000lm024xhn-m101mbb_s2rqj9bca08057&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1044145726-693272282-3404711166-1002 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id={EE6A16B4-926A-40B5-B290-951329C4B016}&gp=openpart2
    FF NewTab: C:\ProgramData\Zitenops\ff.NT
    FF Homepage: C:\ProgramData\Zitenops\ff.HP
    FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id={AF9C57B9-CD15-4D36-A0E2-C0FECEFB9543}&gp=openpart2
    FF Extension: Домашняя страница Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2015-11-06]
    FF Extension: Поиск@Mail.Ru - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2015-11-06]
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!14CCB3533BF8EBC788F59EF5797C20D714CC.js [2015-11-10]
    CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (Quick Searcher) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\cjpalhdlnbpafiamejdnhcphjbkeiagm [2015-07-07]
    OPR Extension: (Quick Searcher) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\dbepggeogbaibhgnhhndojpepiihcmeb [2015-11-06]
    2015-11-10 17:13 - 2015-11-20 22:00 - 00000000 ____D C:\ProgramData\aneamnvmzau
    2015-11-10 17:13 - 2015-11-10 17:13 - 00000000 ____D C:\Users\Все пользователи\MyLzluscyVL
    2015-11-10 16:52 - 2015-11-10 20:12 - 00000004 _____ C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7
    2015-11-10 16:46 - 2015-11-10 20:46 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    2015-11-10 14:13 - 2015-11-06 14:24 - 00000928 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
    2015-11-06 13:31 - 2015-11-06 13:31 - 01625824 _____ (The OpenSSL Project, hxxp://www.openssl.org/) C:\WINDOWS\libeay32.dll
    2015-11-06 13:31 - 2015-11-06 13:31 - 00608117 _____ C:\WINDOWS\libcurl-4.dll
    2015-11-06 13:31 - 2015-11-06 13:31 - 00073216 _____ C:\WINDOWS\taskmgr.exe
    2015-11-06 13:31 - 2015-11-06 13:31 - 00054784 _____ (MingW-W64 Project. All rights reserved.) C:\WINDOWS\libwinpthread-1.dll
    2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ___SD C:\WINDOWS\Sys
    2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ___SD C:\WINDOWS\PLAG
    2015-11-06 13:31 - 2015-11-06 13:31 - 00000000 ____D C:\WINDOWS\Azart
    2015-11-06 13:30 - 2015-11-20 22:00 - 00000000 ____D C:\Users\User\AppData\Roaming\WindowsUpdater
    2014-07-03 22:13 - 2014-07-03 22:13 - 0000040 _____ () C:\Program Files\{AACE8122-B27D-421C-A5BB-95060941AFD7}.sys
    2015-04-14 19:28 - 2015-04-14 19:28 - 0001171 _____ () C:\Users\User\AppData\Roaming\91bgyKgmjqRSpMvPpjvsoAzF
    2015-07-16 16:47 - 2015-07-16 16:47 - 0005005 _____ () C:\ProgramData\wmzddnmb.cix
    CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\globalupdate Helper" /f /reg:32
    CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SwiftSearch_1.10.0.25" /f /reg:32
    Task: {823CC96B-D95A-4458-87C4-B275CA0ACACB} - \Image Follow -> No File <==== ATTENTION
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\40451096.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76519234.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\E9A68D64.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\E9A68D646.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\40451096.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76519234.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\E9A68D64.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\E9A68D646.sys => ""="Driver"
    FirewallRules: [{78F8D535-849A-4C87-BCD6-5A84ABFE0CCD}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\bugreport_xf.exe
    FirewallRules: [{1927D0B1-6AF4-4087-8107-0BA7B0EBE689}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\130\tencentdl.exe
    C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Амиго.lnk
    C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
    EmptyTemp:
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    WBR,
    Vadim

  13. #11
    Junior Member Репутация
    Регистрация
    23.11.2015
    Сообщений
    7
    Вес репутации
    4
    Спасибо, сделал. Файл прилагается.
    Вложения Вложения

  14. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    23,805
    Вес репутации
    779
    Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.
    WBR,
    Vadim

  15. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,531
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Dm1, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 07.05.2015, 15:22
    2. Ответов: 4
      Последнее сообщение: 01.01.2015, 13:27
    3. Ответов: 6
      Последнее сообщение: 03.06.2011, 11:07
    4. Ответов: 1
      Последнее сообщение: 12.12.2010, 22:11
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 02:36

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00044 seconds with 22 queries