Каждые минут 10 вылазит такое окно:
setup-wizard.png
Устанавливаются сами различные программы, открываются. Из панели управления только успеваю удалять.
Прошу, помогите. Все три лога прикрепил ниже.
Каждые минут 10 вылазит такое окно:
setup-wizard.png
Устанавливаются сами различные программы, открываются. Из панели управления только успеваю удалять.
Прошу, помогите. Все три лога прикрепил ниже.
Последний раз редактировалось Максим Отмахов; 10.03.2016 в 13:52.
Уважаемый(ая) Максим Отмахов, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте!
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\knst4b01.tmpfs'); TerminateProcessByName('c:\program files (x86)\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe'); TerminateProcessByName('c:\windows\temp\cdda.tmp'); StopService('secygysyzbt'); QuarantineFileF('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0); QuarantineFile('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\knst4b01.tmpfs', ''); QuarantineFile('C:\Windows\assembly\NativeImages_v4.0.30319_32\System.ServiceModel\8b1e3086b7b418e526005e93466d1491\System.ServiceModel.ni.dll', ''); QuarantineFile('C:\Program Files (x86)\Clownfish\Clownfish.exe', ''); QuarantineFile('C:\Program Files (x86)\badu\Uninst.exe', ''); QuarantineFile('C:\Program Files (x86)\badu\uc.exe', ''); QuarantineFile('c:\program files (x86)\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe', ''); QuarantineFile('c:\windows\temp\cdda.tmp', ''); DeleteFile('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\knst4b01.tmpfs', '32'); DeleteFile('c:\windows\temp\cdda.tmp', '32'); DeleteFile('c:\program files (x86)\tencent\qqpcmgr\10.7.16066.216\qqpcrealtimespeedup.exe', '32'); DeleteFile('C:\Program Files (x86)\badu\uc.exe', '32'); DeleteFile('C:\Program Files (x86)\badu\Uninst.exe', '32'); DeleteService('secygysyzbt'); DeleteFileMask('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\', '*', true); DeleteDirectory('c:\program files (x86)\35453035-1457539938-4639-3446-3645ffffffff\'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'apphide'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'pcmgr'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'svchost0'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- сделайте лог Check Browsers' LNK by Dragokas & regist.
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
- Прикрепите отчет к своему следующему сообщению.
Вот, все сделал.
Код:http://virusinfo.info/virusdetector/report.php?md5=AA9C923715A84332B2E0B20109723E37
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk', ''); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk', ''); QuarantineFile('c:\programdata\lightgate.exe', ''); QuarantineFile('c:\programdata\homepage.exe', ''); QuarantineFile('C:\ProgramData\service.exe', ''); DeleteFile('c:\programdata\lightgate.exe', '32'); DeleteFile('c:\programdata\homepage.exe', '32'); DeleteFile('C:\ProgramData\service.exe', '32'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'LightGate'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'HomePageHelper'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService', 'EventMessageFile'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.Код:C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Maxim\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\STARTM~1\UC(2)~1.LNK C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk C:\Users\Maxim\AppData\Roaming\MICROS~1\INTERN~1\QUICKL~1\USERPI~1\STARTM~1\UCB11A~1.LNK C:\Users\Maxim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WO Mic Client.lnk C:\Users\Maxim\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\UCAE07~1\UCE2D2~1.LNK C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器\卸载UC浏览器.lnk C:\Users\Maxim\Desktop\AutoTime.LNK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamster Soft\PDF Reader\Hamster PDF Reader.lnk C:\Users\Maxim\Favorites\Mail.Ru Агент - используй для общения!.url C:\Users\Maxim\Favorites\Mail.Ru.url C:\Users\Maxim\Favorites\OVGORSKIY.url
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
Сделал.
Сделайте свежий лог AdwCleaner-а.
Вот.
Ещё раз свежий лог сделайте, чтобы убедится, что чисто.
+ что с проблемой?
- Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
- В меню Настройки отметьте:
- Сброс политик IE
- Сброс политик Chrome
- Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
- Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
- Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
Сделал
Ещё раз повторите лог, чтобы убедиться, что больше ничего не находит.
Вот
Опять нашло .
- Пожалуйста, запустите adwcleaner.exe
- Нажмите Uninstall (Деинсталлировать).
- Подтвердите удаление нажав кнопку: Да.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
- - - - -Добавлено - - - - -
+ Пожалуйста, папку
Заархивируйте в zip архив с паролем virus, закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU) ссылку на скачивание пришлите мне в ЛС.Код:C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\
В ЛС тоже загрузил.
Последний раз редактировалось Максим Отмахов; 12.03.2016 в 13:29.
все эти расширения сами ставили?Код:CHR Extension: (Google Переводчик) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapbdbdomjkkjkaonfhkkikfgjllcleb [2016-02-22] CHR Extension: (Google Презентации) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-02-22] CHR Extension: (Документы Google) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-02-22] CHR Extension: (Диск Google) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-02-22] CHR Extension: (Gismeteo) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfegaehidkkcfaikpaijcdahnpikhobf [2016-02-22] CHR Extension: (YouTube) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-02-22] CHR Extension: (Adblock Plus) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-03-09] CHR Extension: (Google Search) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2016-02-22] CHR Extension: (ZenMate VPN - Best Cyber Security & Unblock) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\fdcgdnkidjaadafnichfpabhfomcebme [2016-03-09] CHR Extension: (Google Таблицы) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-02-22] CHR Extension: (VK inviz) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffniakoflaobbkjjcnlnmepodehaflkd [2016-02-22] CHR Extension: (Google*Документы офлайн) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-02-22] CHR Extension: (AdBlock) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-03-12] CHR Extension: (MusicSig vkontakte) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\hanjiajgnonaobdlklncdjdmpbomlhoa [2016-02-26] CHR Extension: (Skype) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl [2016-02-23] CHR Extension: (Enable Right Click + Save on Instagram) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\mffohfgmljaaoakgmnhpgnhlpgidedkc [2016-02-22] CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-02-22] CHR Extension: (Gmail) - C:\Users\Maxim\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-02-22]
UCBrowser - вам знакомо? Сами ставили?
- - - - -Добавлено - - - - -
+ 360 total security - не ставили? У вас в системе его хвосты видны.
И на всякий случай перед дальнейшими действиями точку восстановления системы сделайте.
UCBrowser, 360 total - это все с вирусов, а расширения да, все мои. Точку отката сделал
советую деинсталируйте.Код:Skype Click to Call (HKLM-x32\...\{6D1221A9-17BF-4EC0-81F2-27D30EC30701}) (Version: 8.0.0.9103 - Microsoft Corporation)
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!Код:start CreateRestorePoint: HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => No File HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ovgorskiy.ru CHR HomePage: Default -> mail.ru/cnt/11956636?gp=820473 CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=820473","hxxp://www.istartpageing.com/?type=hp&ts=1455978273&z=2f4c3fde3ce08482df09315gczcw1w8tfm9b3ofm7o&from=age&uid=WDCXWD5001AALS-00L3B2_WD-WCASY654093440934","hxxp://www.yoursearching.com/?type=hp&ts=1455979286&z=9cb13d9f76d4722994865c1gbzfwbw7t2mft3oebbq&from=face&uid=WDCXWD5001AALS-00L3B2_WD-WCASY654093440934","hxxp://www.istartpageing.com/?type=hp&ts=1457540632&z=700c7f3e1239a08ec39c184g8z9wcmdw4zbe8q0o7m&from=cmi&uid=WDCXWD5001AALS-00L3B2_WD-WCASY654093440934" 2016-03-11 23:52 - 2016-03-11 23:52 - 00000000 ____D C:\Users\Все пользователи\TXQMPC 2016-03-11 23:52 - 2016-03-11 23:52 - 00000000 ____D C:\ProgramData\TXQMPC 2016-03-10 16:08 - 2016-03-11 14:42 - 00000000 ____D C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 2016-03-10 16:06 - 2016-03-10 16:21 - 00000000 ____D C:\Program Files (x86)\UCBrowser 2016-03-10 16:06 - 2016-03-10 16:06 - 00000468 _____ C:\Windows\Tasks\UCBrowserUpdater.job 2016-03-10 16:06 - 2016-03-10 16:06 - 00000000 ____D C:\Users\Maxim\AppData\Local\UCBrowser 2016-03-10 16:03 - 2016-03-10 20:48 - 00000000 ____D C:\Program Files (x86)\badu 2016-03-10 00:17 - 2016-03-10 00:17 - 00000000 __SHD C:\ProgramData\360Quarant 2016-03-10 00:17 - 2016-03-10 00:17 - 00000000 __SHD C:\$360Section 2016-03-10 00:05 - 2016-03-10 00:05 - 00000000 ____D C:\Program Files (x86)\360 2016-03-10 00:05 - 2016-02-01 12:20 - 00368720 _____ (360.cn) C:\Windows\system32\Drivers\360FsFlt.sys.256 2016-03-10 00:05 - 2016-02-01 12:20 - 00319568 _____ (360.cn) C:\Windows\system32\Drivers\360Box64.sys.466 2016-03-10 00:05 - 2016-02-01 12:20 - 00181328 _____ (360.cn) C:\Windows\system32\Drivers\BAPIDRV64.SYS.upd 2016-03-10 00:05 - 2016-02-01 12:20 - 00137808 _____ (360.cn) C:\Windows\system32\Drivers\360AntiHacker64.removed 2016-03-10 00:05 - 2016-02-01 12:20 - 00077904 _____ (360.cn) C:\Windows\system32\Drivers\360AvFlt.sys.000 2016-03-10 17:21 - 2016-03-10 02:49 - 1275392 _____ (TZ) C:\ProgramData\FrivLauncherUS.exe 2016-03-10 17:19 - 2016-03-02 19:49 - 1888256 _____ () C:\ProgramData\msiql.exe 2016-03-10 17:19 - 2016-03-10 17:19 - 0011633 _____ () C:\ProgramData\webad.xml HKLM\...\StartupApproved\Run32: => "BabylonToolbar" EmptyTemp: Reboot: end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
"Skype Click to Call" удалил через панель управления. Вы это имели виду?
Уважаемый(ая) Максим Отмахов, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.