Самопроизвольное установление программ SHAREit, pluto.tv и др. [not-a-virus:AdWare.Win32.Amonetize.bgsf, Trojan-Downloader.MSIL.Crypted.hk ]

После перезагрузки компьютера программы устанавливаются вновь. Помогите пожалуйста. Заранее спасибо.

Уважаемый(ая) [B]Денис Останин[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('C:\Program Files\NixSrv\NixSrv.exe');
TerminateProcessByName('C:\Program Files\NixSrv\packages\3ec79a93-223a-4924-9137-4fd654c11092\Stanron.exe');
StopService('NixSrv');
QuarantineFileF('C:\Program Files\NixSrv', '*', true, '', 0 , 0);
QuarantineFileF('C:\Users\ДНС\AppData\Local\Microsoft\Extensions', '*', true, '', 0 , 0);
QuarantineFileF('C:\Program Files (x86)\Sonic Train\Extensions', '*', true, '', 0 , 0);
QuarantineFileF('C:\Program Files (x86)\Cinem', '*', true, '', 0 , 0);
QuarantineFileF('C:\Program Files (x86)\AnyProtectEx', '*', true, '', 0 , 0);
QuarantineFileF('C:\Program Files (x86)\globalUpdate', '*', true, '', 0 , 0);
QuarantineFile('C:\Program Files\NixSrv\NixSrv.exe', '');
QuarantineFile('C:\Program Files\NixSrv\packages\3ec79a93-223a-4924-9137-4fd654c11092\Stanron.exe', '');
QuarantineFile('C:\Users\ДНС\AppData\Local\Microsoft\Extensions\safebrowser.exe', '');
QuarantineFile('C:\Program Files (x86)\Sonic Train\Extensions\0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc.dll', '');
QuarantineFile('C:\Program Files (x86)\Cinema_Plus1.2V20.09\385ec619-f207-4147-a150-7508967afbb6-5.exe', '');
QuarantineFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '');
QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '');
QuarantineFile('C:\Users\ДНС\AppData\Roaming\Steam\Caches\mdm', '');
QuarantineFile('C:\Users\ДНС\appdata\local\microsoft\extensions\extsetup.exe', '');
QuarantineFile('C:\ProgramData\ExtTag\ExtTag.exe', '');
DeleteFile('C:\Program Files\NixSrv\NixSrv.exe', '32');
DeleteFile('C:\Program Files\NixSrv\packages\3ec79a93-223a-4924-9137-4fd654c11092\Stanron.exe', '32');
DeleteFile('C:\Users\ДНС\AppData\Local\Microsoft\Extensions\safebrowser.exe', '32');
DeleteFile('C:\Program Files (x86)\Sonic Train\Extensions\0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc.dll', '32');
DeleteFile('C:\Program Files (x86)\Cinema_Plus1.2V20.09\385ec619-f207-4147-a150-7508967afbb6-5.exe', '32');
DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe', '32');
DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe', '32');
DeleteFile('C:\Users\ДНС\AppData\Roaming\Steam\Caches\mdm', '32');
DeleteFile('C:\Users\ДНС\appdata\local\microsoft\extensions\extsetup.exe', '32');
DeleteFile('C:\ProgramData\ExtTag\ExtTag.exe');
DeleteFile('C:\Windows\Tasks\385ec619-f207-4147-a150-7508967afbb6-5.job', '32');
DeleteFile('C:\Windows\Tasks\385ec619-f207-4147-a150-7508967afbb6-5_user.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-1-6.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-1-7.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-10_user.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-3.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-5.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-5_user.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-6.job', '32');
DeleteFile('C:\Windows\Tasks\3cd22387-9d36-4f94-bc51-564c1d920bbd-7.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job', '32');
DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job', '32');
DeleteFile('C:\Windows\Tasks\ASC8_SkipUac_Admin.job', '32');
DeleteFile('C:\Windows\Tasks\ei58JuSydlVKXCxn.job', '32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job', '32');
DeleteFile('C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job', '32');
DeleteService('NixSrv');
DeleteFileMask('C:\Program Files\NixSrv', '*', true);
DeleteFileMask('C:\Users\ДНС\AppData\Local\Microsoft\Extensions', '*', true);
DeleteFileMask('C:\Program Files (x86)\Sonic Train\Extensions', '*', true);
DeleteFileMask('C:\Program Files (x86)\Cinem', '*', true);
DeleteFileMask('C:\Program Files (x86)\AnyProtectEx', '*', true);
DeleteFileMask('C:\Program Files (x86)\globalUpdate', '*', true);
DeleteFileMask('C:\ProgramData\ExtTag', '*', true);
DeleteDirectory('C:\Program Files\NixSrv');
DeleteDirectory('C:\Users\ДНС\AppData\Local\Microsoft\Extensions');
DeleteDirectory('C:\Program Files (x86)\Sonic Train\Extensions');
DeleteDirectory('C:\Program Files (x86)\Cinem');
DeleteDirectory('C:\Program Files (x86)\AnyProtectEx');
DeleteDirectory('C:\Program Files (x86)\globalUpdate');
DeleteDirectory('C:\ProgramData\ExtTag');
DelBHO('{0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc}');
ExecuteFile('schtasks.exe', '/delete /TN "385ec619-f207-4147-a150-7508967afbb6-5" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "APSnotifierPP3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineCore" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "globalUpdateUpdateTaskMachineUA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MdmUpdateTaskMachineCore" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'SafeBrowser');
ExecuteSysClean;
ExecuteRepair(2);
ExecuteRepair(14);
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].

Все рекомендации выполнил прилагаю документы

[url="http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864"]Удалите всё найденное в [B]AdwCleaner[/B][/URL], дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.
[URL="http://virusinfo.info/showthread.php?t=128635"]Очистите кэш и cookies-файлы браузеров[/URL] и сообщите, что с проблемами.

Проблема устранена. Огромное спасибо, обязательно поддержу ваш проект

Запустите AdwCleaner и нажмите [B]Деинсталлировать (Uninstall)[/B].

Выполните [url="http://virusinfo.info/showthread.php?t=121902"]рекомендации после лечения[/url].

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files\nixsrv\nixsrv.exe - [B]not-a-virus:AdWare.Win32.Amonetize.bgsf[/B] ( AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\program files\nixsrv\packages\e3df0fba-d79d-40db-b548-1f6c7a05595b\xtc.exe - [B]Trojan-Downloader.MSIL.Crypted.hk[/B][*] c:\program files\nixsrv\packages\3ec79a93-223a-4924-9137-4fd654c11092\setup\winrarupdate.5.21.0.exe - [B]not-a-virus:AdWare.NSIS.OutBrowse.hfnu[/B][*] c:\program files\nixsrv\packages\3ec79a93-223a-4924-9137-4fd654c11092\stanron.exe - [B]not-a-virus:AdWare.Win32.Amonetize.bmdm[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\program files\nixsrv\packages\3ec79a93-223a-4924-9137-4fd654c11092\temp\java.exe - [B]not-a-virus:AdWare.NSIS.OutBrowse.hafi[/B][*] c:\users\днс\appdata\local\microsoft\extensions\extsetup.exe - [B]Trojan.NSIS.ExtInstall.a[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\днс\appdata\local\microsoft\extensions\safebrowser.exe - [B]Trojan.NSIS.ExtInstall.a[/B] ( AVAST4: Win32:Malware-gen )[*] c:\users\днс\appdata\roaming\steam\caches\mdm - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.hmti[/B][/LIST][/LIST]