Самопроизвольная установка программ и самооткрывающиеся вкладки браузера

**Никита Копаница** · 14.08.2016, 22:17

Здравствуйте, прошу помощи! Подцепил гадость, самостоятельно устанавливаются программы, постоянно открывается реклама в браузере, теперь ещё справа снизу окно с рекламой вылезло :/ В х64 просили первый пункт пропустить, посему прикрепил два файла. Надеюсь, всё верно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.08.2016, 22:18

Уважаемый(ая) Никита Копаница, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 15.08.2016, 13:35

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\caster\wizzcaster.exe','');
 QuarantineFile('C:\ProgramData\RenewalService\Renewal.exe','');
 QuarantineFile('C:\Users\Никита\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe','');
 DeleteService('kpsupuwj');
 QuarantineFile('C:\Program Files\Condusiv Technologies\ExpressCache\ExpressCache.exe','');
 DeleteService('clususethoheseadapterService');
 QuarantineFile('C:\Program Files (x86)\Clususethohese\clususethoheseadapterService.html5 {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83}','');
 QuarantineFile('C:\Program Files (x86)\Common Files\AppKeys\yytool64.exe','');
 TerminateProcessByName('C:\Program Files\Sound+\idscservice.exe');
 TerminateProcessByName('c:\program files\sound+\sound+.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('c:\program files\sound+\sound+.exe','');
 QuarantineFile('C:\Program Files\Sound+\idscservice.exe','');
 DeleteFile('C:\Program Files\Sound+\idscservice.exe','32');
 DeleteFile('c:\program files\sound+\sound+.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Program Files (x86)\Clususethohese\clususethoheseadapterService.html5 {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83}','32');
 DeleteFile('kpsupuwj.sys','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IDSCPRODUCT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Sound+');
 DeleteFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe','32');
 DeleteFile('C:\Users\Никита\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\Microsoft\Windows\Application Experience\RenewalService','64');
 DeleteFile('C:\ProgramData\RenewalService\Renewal.exe','32');
 DeleteFile('C:\Program Files\caster\wizzcaster.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи

**Никита Копаница** · 15.08.2016, 19:57

При загрузке карантина появляется сообщение с ошибкой, мол, файл уже был загружен. Открыл архив "C:\quarantine.zip" руками, он пустой. Новые логи из AVZ и HiJackThis прилагаю. Проблема всё ещё актуальна, после перезагрузки ПК те же симптомы. Спасибо огромное за поддержку, Друг

**thyrex** · 16.08.2016, 10:21

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Никита Копаница** · 16.08.2016, 17:57

Всё сделал

**thyrex** · 16.08.2016, 21:24

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM\...\Winlogon: [Userinit] wscript C:\WINDOWS\run.vbs,
C:\WINDOWS\run.vbs
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SPDriverInstall.lnk [2016-08-10]
ShortcutTarget: SPDriverInstall.lnk -> C:\Program Files\MediaTek\SP Driver\SPDriverInstall (No File)
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO: Визуальные закладки -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
FF Extension: GsearchFinder - C:\Users\Никита\AppData\Roaming\Profiles\s8or06ax.default\Extensions\@A3592ADB-854A-443A-854E-EB92130D470D.xpi [2016-08-01]
CHR Extension: (VK Downloader) - C:\Users\Никита\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbjdlpaffkkdggnabfdbhbfbncmcckio [2016-08-03]
CHR HKU\S-1-5-21-3417960030-3459526240-2357719259-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3417960030-3459526240-2357719259-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Никита\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
2016-08-14 21:20 - 2016-08-14 21:20 - 00000000 ____D C:\Program Files (x86)\4B435451-1471198823-3030-4532-50465D301C65
2016-08-14 21:18 - 2016-08-14 21:20 - 00000000 ____D C:\Program Files (x86)\ContentPush
2016-08-14 21:18 - 2016-08-14 21:18 - 00000000 ____D C:\Program Files (x86)\WeatherChickn
2016-08-14 21:04 - 2016-08-15 14:38 - 00000000 ____D C:\Program Files\Caster
2016-08-14 21:03 - 2016-08-14 22:27 - 00000000 ____D C:\Program Files\Sound+
2016-08-07 21:04 - 2016-08-07 21:07 - 00000000 ____D C:\Users\Все пользователи\hdtask
2016-08-07 21:04 - 2016-08-07 21:07 - 00000000 ____D C:\ProgramData\hdtask
2016-08-01 20:20 - 2016-08-01 20:20 - 00000000 ____D C:\Users\Никита\AppData\Local\Amigo
2016-08-01 20:02 - 2016-08-01 20:19 - 00000000 ____D C:\Users\Никита\AppData\Roaming\prof2you
2016-08-01 20:00 - 2016-07-05 18:34 - 00000000 ____D C:\Program Files (x86)\WMIprovider
C:\Users\Никита\AppData\Local\Temp\A045.tmp.exe
C:\Users\Никита\AppData\Local\Temp\A0E8.tmp.exe
C:\Users\Никита\AppData\Local\Temp\B193.tmp.exe
C:\Users\Никита\AppData\Local\Temp\ContentPushSetup.exe
C:\Users\Никита\AppData\Local\Temp\D3OW7BBIK9.exe
C:\Users\Никита\AppData\Local\Temp\D817.tmp.exe
C:\Users\Никита\AppData\Local\Temp\DBUpdater.exe
C:\Users\Никита\AppData\Local\Temp\E6DE.tmp.exe
C:\Users\Никита\AppData\Local\Temp\E81.tmp.exe
C:\Users\Никита\AppData\Local\Temp\EE60.tmp.exe
C:\Users\Никита\AppData\Local\Temp\prepreinstaller_win.exe
C:\Users\Никита\AppData\Local\Temp\soundplus-installer.exe
C:\Users\Никита\AppData\Local\Temp\W287RHJFKZ.exe
C:\Users\Никита\AppData\Local\Temp\WindowsUpdateKB12695__7428_il10295.exe
C:\Users\Никита\AppData\Local\Temp\ZaxarSetup.4.001.1827.exe
CustomCLSID: HKU\S-1-5-21-3417960030-3459526240-2357719259-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3417960030-3459526240-2357719259-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3417960030-3459526240-2357719259-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3417960030-3459526240-2357719259-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Никита\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
Task: {536F27CD-D62B-483A-AEB2-18010AFF3A7E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {58C83D95-8229-4E16-BB1E-504943F9E582} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {5AE2F386-FDC2-4E01-8739-10EE091FA834} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {5F8AC7DA-B731-40A4-AF1D-8624F28C8AA7} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Task: {72AB7314-761D-4920-B11B-F8C25226A94B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {79AC36EA-223B-4C08-8201-642CEF238088} - \Microsoft\Windows\Application Experience\RenewalService -> No File <==== ATTENTION
Task: {8A7E6C5D-4C21-443C-A403-14B77195D9BD} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {A5290043-DB25-4BD2-8C95-C3B9DAF045ED} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {AB202027-DD3D-4EB5-822F-971F7D35785C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {B7F5A600-9B4F-4C40-AA60-253465F3A763} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B8F83C66-982D-4A26-8D17-8DA188A7F9F1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {C79F07F8-911E-481E-8392-8D0CFF925763} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {DCB74224-FD21-4677-8DA7-BE54F7179ECD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**Никита Копаница** · 16.08.2016, 22:14

Сделано

**thyrex** · 17.08.2016, 17:04

Что с проблемой?

**Никита Копаница** · 17.08.2016, 17:24

Я почему-то думал, что это некое промежуточное действие

Вроде бы всё хорошо, уже сутки ничего нигде не выскакивало. Спасибо большое за помощь, Вы мне очень помогли!

Самопроизвольная установка программ и самооткрывающиеся вкладки браузера (заявка № 203048)

Опции темы