Самостоятельно устанавливаются левые программы [not-a-virus:AdWare.Win32.WProtManager.bj, not-a-virus:AdWare.Win32.SubTab.j ]

Устанавливается разнообразный хлам, стопарит систему, удаляет постоянно хром и ставит вместо него оперу и еще что-то. Очень мешает и бесит. Ставятся в любое время. Удалял уже несколько раз

Уважаемый(ая) [B]Elnivare[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
ClearQuarantine;
TerminateProcessByName('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe');
TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knse7153.tmp');
TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp');
TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\hnsq36f9.tmp');
QuarantineFile('C:\Users\Аллах\appdata\local\smartweb\__u.exe','');
QuarantineFile('C:\Users\Аллах\AppData\Local\Host installer\2121303768_monster.exe','');
QuarantineFile('C:\Users\Аллах\AppData\Local\SmartWeb\SmartWebHelper.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','');
QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');
QuarantineFile('C:\Users\Аллах\AppData\Local\vsemposkidki\stub.exe','');
QuarantineFile('C:\Users\Аллах\AppData\Local\vsemposkidki\config.json','');
QuarantineFile('C:\Program Files (x86)\Google\Chrome\Application\chrome.exe','');
QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
DeleteService('innfd_1_10_0_14');
SetServiceStart('innfd_1_10_0_14', 4);
StopService('innfd_1_10_0_14');
QuarantineFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','');
DeleteService('EasyAntiCheat');
SetServiceStart('EasyAntiCheat', 4);
StopService('EasyAntiCheat');
QuarantineFile('C:\Windows\system32\EasyAntiCheat.exe','');
DeleteService('WindowsMangerProtect');
SetServiceStart('WindowsMangerProtect', 4);
StopService('WindowsMangerProtect');
QuarantineFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','');
DeleteService('vicoqudu');
SetServiceStart('vicoqudu', 4);
StopService('vicoqudu');
QuarantineFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\hnsq36F9.tmp','');
DeleteService('detoviky');
SetServiceStart('detoviky', 4);
StopService('detoviky');
QuarantineFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\knse7153.tmp','');
QuarantineFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','');
QuarantineFile('c:\program files (x86)\skillbrains\lightshot\5.2.1.1\lightshot.exe','');
QuarantineFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knse7153.tmp','');
QuarantineFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp','');
QuarantineFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\hnsq36f9.tmp','');
DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');
DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\hnsq36f9.tmp','32');
DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp','32');
DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knse7153.tmp','32');
DeleteFile('c:\programdata\windowsmangerprotect\protectwindowsmanager.exe','32');
DeleteFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\knse7153.tmp','32');
DeleteFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\hnsq36F9.tmp','32');
DeleteFile('C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe','32');
DeleteFile('C:\Windows\system32\EasyAntiCheat.exe','32');
DeleteFile('C:\Windows\system32\drivers\innfd_1_10_0_14.sys','32');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleChromeAutoLaunch_CFABF3B09561A18C4B1C77AA644B683A');
DeleteFile('C:\Users\Аллах\AppData\Local\vsemposkidki\config.json','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','vsemposkidki');
DeleteFile('C:\Users\Аллах\AppData\Local\vsemposkidki\stub.exe','32');
DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64');
DeleteFile('C:\Windows\Tasks\M28FPbFgxKIoIX5lrxm2lhpD.job','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64');
DeleteFile('C:\Users\Аллах\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteFile('C:\Users\Аллах\AppData\Local\Host installer\2121303768_monster.exe','32');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
DeleteFile('C:\Users\Аллах\appdata\local\smartweb\__u.exe','32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

Запускайте HijackThis правой кнопкой мыши - "Запуск от имени Администратора".
Пофиксите в HijackThis только указанные строки [URL="http://virusinfo.info/showthread.php?t=4491"](как пофиксить)[/URL]:
[CODE]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1436341410&z=20c0a6baadd3be54adb159ag0zfc7qecbz6g4z1g6e&from=face&uid=WDCXWD10EARX-00N0YB0_WD-WCC0T013985939859

[/CODE]

Загрузите quarantine.zip из папки AVZ по красной ссылке "Прислать запрошенный карантин" в шапке этой темы.

Сделайте заново лог virusinfo_syscheck.zip и лог HijackThis (пункты 2 и 3 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

Подготовьте лог AdwCleaner
[url]http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844[/url]
и приложите его в теме.

Сделайте лог [URL="http://virusinfo.info/soft/tool.php?tool=checkbrowserlnk"]CheckBrowserLnk[/URL]
и приложите в теме.

Сделал логи

В указанной последовательности:

Скачайте на рабочий стол эту [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту[/url].
Перетащите на нее мышью лог CheckBrowserLnk.log.

Удалите все найденное в AdwCleaner.
Как удалить:
[url]http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864[/url]

На запрос перезагрузить - соглашайтесь.

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
TerminateProcessByName('c:\program files (x86)\skillbrains\lightshot\5.2.1.1\lightshot.exe');
TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp');
TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp');
StopService('zejytose');
StopService('BEService');
SetServiceStart('zejytose', 4);
SetServiceStart('BEService', 4);
DeleteService('BEService');
DeleteService('zejytose');
QuarantineFile('C:\Program Files (x86)\Common Files\BattlEye\BEService.exe','');
DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\jnsg2117.tmp','32');
DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp','32');
DeleteFile('c:\program files (x86)\skillbrains\lightshot\5.2.1.1\lightshot.exe','32');
DeleteFile('C:\Users\Аллах\AppData\Roaming\00000000-1436339544-0000-0000-50E5492F68A7\jnsg2117.tmp','32');
DeleteFile('C:\Program Files (x86)\Common Files\BattlEye\BEService.exe','32');
DeleteFile('C:\Users\Аллах\appdata\local\smartweb\__u.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

Выполните скрипт в AVZ отсюда, скопировав там весь текст [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
(копировать при включенной русской раскладке)
[url]http://dataforce.ru/~kad/ScanVuln.txt[/url]
Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.

Сделайте заново все логи, которые просил в предыдущем сообщении.

Программы опять установились

[QUOTE]Если будут найдены уязвимости, в папке AVZ\LOG появится файл avz_log.txt. Приложите его в теме.[/QUOTE]
Мне нужен этот файл.
+
Во всех браузерах, которыми пользуетесь, посмотрите надстройки/расширения.
Если есть что-то неизвестное - отключите/удалите. И их список приложите. (например скриншоты сделайте).

Вот, в браузерах ничего лишнего. Все, что когда-то ставил

У вас SP1 для вин7 не установлен, но пока ладно, попробуем пока так..
В указанной последовательности:
[QUOTE][url]http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_18_active_x.exe[/url][/QUOTE]
Это скачайте и установите.

Перезагрузите компьютер.

Сделайте заново все логи, которые в вашем сообщении №6. (нужно сделать заново. старые постарайтесь не прикладывать)

Вот,

В указанной последовательности:

Запускайте AVZ правой кнопкой мыши - "Запуск от имени Администратора".
Выполните скрипт в AVZ [URL="http://virusinfo.info/showthread.php?t=7239"](как выполнить)[/URL]:
[CODE]
begin
TerminateProcessByName('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp');
StopService('wsafd_1_10_0_19');
SetServiceStart('wsafd_1_10_0_19', 4);
DeleteFile('c:\users\6057~1\appdata\local\temp\rar$exa0.515\check browsers lnk.exe','32');
DeleteFile('c:\users\Аллах\appdata\roaming\00000000-1436339544-0000-0000-50e5492f68a7\knst5a5c.tmp','32');
DeleteFile('C:\Windows\Tasks\Adobe Flash Player Updater.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
DeleteFile('C:\Windows\system32\Tasks\bandicam_start','64');
DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
DeleteFile('C:\Users\Аллах\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
DeleteService('wsafd_1_10_0_19');
DeleteFileMask('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse','*', true);
DeleteDirectory('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse');
DeleteFileMask('C:\Users\Аллах\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki','*', true);
DeleteDirectory('C:\Users\Аллах\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vsemposkidki');
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]
Компьютер перезагрузится.

Удалите все найденное в AdwCleaner.
Как удалить:
[url]http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864[/url]

Сделайте заново лог virusinfo_syscheck.zip (пункт 2 раздела "Диагностика" [URL="http://virusinfo.info/pravila.html"]правил[/URL]) и приложите в теме.

Сделайте заново лог AdwCleaner
[url]http://virusinfo.info/showthread.php...=1#post1041844[/url]
и приложите его в теме.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\crossbrowse\crossbrowse\application\utility.exe - [B]not-a-virus:HEUR:AdWare.Win32.CrossRider.gen[/B][*] c:\program files (x86)\miuitab\suptab.dll - [B]not-a-virus:AdWare.Win32.SubTab.j[/B][*] c:\programdata\windowsmangerprotect\protectwindowsmanager.exe - [B]not-a-virus:AdWare.Win32.WProtManager.bj[/B][/LIST][/LIST]