Постоянная установка программ.

Printable View

03.02.2016, 09:09
Иван Стрелков

Вложений: 2

Постоянная установка программ.

Добрый день, постоянно устанавливается разный мусор на пк. Пытался чистить, но каждое утро программы опять стоят. Просьба помочь.
03.02.2016, 09:10
Info_bot

Уважаемый(ая) [B]Иван Стрелков[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.02.2016, 23:18
Vvvyg

Advanced PC Care, Mail.Ru updater - надеюсь, тоже не сами устанавливали? А Zona?

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\program files\wajaneten\4af1848c47b1af9d332ef881438c08a9.exe');
TerminateProcessByName('C:\Program Files\WajaNetEn\7544a102708d749972d46ebabbe03bc4.exe');
TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
TerminateProcessByName('c:\programdata\6wdm6\wdman.exe');
StopService('Updater.Mail.Ru');
StopService('WdMan');
StopService('WajaNetEn Monitor');
QuarantineFileF('c:\program files\wajaneten', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('C:\Users\Михаил\appdata\roaming\aspackage', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFile('c:\program files\wajaneten\4af1848c47b1af9d332ef881438c08a9.exe', '');
QuarantineFile('C:\Program Files\WajaNetEn\7544a102708d749972d46ebabbe03bc4.exe', '');
QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
QuarantineFile('c:\programdata\6wdm6\wdman.exe', '');
QuarantineFile('c:\program files\wajaneten\WajaNetEnlibs\cxiphq.dll', '');
QuarantineFile('C:\Users\Михаил\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
QuarantineFile('C:\Users\Михаил\AppData\Local\AawAWJP\MeIRgKR1.bat', '');
QuarantineFile('C:\Users\Михаил\AppData\Local\Amigo\Application\amigo.exe', '');
QuarantineFile('C:\Users\Михаил\AppData\Local\26911\Updater.exe', '');
QuarantineFile('C:\Users\8FEE~1\AppData\Local\Temp\task.vbs', '');
QuarantineFile('C:\Users\8FEE~1\AppData\Local\Temp\amiupdater1142.exe', '');
QuarantineFile('C:\ProgramData\RenewalService\Service.exe', '');
QuarantineFile('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe', '');
QuarantineFile('C:\Users\Михаил\appdata\roaming\aspackage\aspackage.exe', '');
QuarantineFile('C:\Users\Михаил\appdata\roaming\aspackage\uninstall.exe', '');
DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job', '64');
DeleteFile('c:\program files\wajaneten\4af1848c47b1af9d332ef881438c08a9.exe', '32');
DeleteFile('C:\Program Files\WajaNetEn\7544a102708d749972d46ebabbe03bc4.exe', '32');
DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
DeleteFile('c:\programdata\6wdm6\wdman.exe', '32');
DeleteFile('c:\program files\wajaneten\WajaNetEnlibs\cxiphq.dll', '32');
DeleteFile('C:\Users\Михаил\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
DeleteFile('C:\Users\Михаил\AppData\Local\AawAWJP\MeIRgKR1.bat', '32');
DeleteFile('C:\Users\Михаил\AppData\Local\Amigo\Application\amigo.exe', '32');
DeleteFile('C:\Users\Михаил\AppData\Local\26911\Updater.exe', '32');
DeleteFile('C:\Users\8FEE~1\AppData\Local\Temp\task.vbs', '32');
DeleteFile('C:\Users\8FEE~1\AppData\Local\Temp\amiupdater1142.exe', '32');
DeleteFile('C:\ProgramData\RenewalService\Service.exe', '32');
DeleteFile('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe', '32');
DeleteFile('C:\Users\Михаил\appdata\roaming\aspackage\aspackage.exe', '32');
DeleteFile('C:\Users\Михаил\appdata\roaming\aspackage\uninstall.exe', '32');
DeleteService('Updater.Mail.Ru');
DeleteService('WdMan');
DeleteService('WajaNetEn Monitor');
DeleteFileMask('c:\program files\wajaneten', '*', true);
DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
DeleteFileMask('c:\programdata\6wdm6', '*', true);
DeleteFileMask('C:\Users\Михаил\AppData\Local\Mail.Ru', '*', true);
DeleteFileMask('C:\Users\Михаил\AppData\Local\Amigo', '*', true);
DeleteFileMask('C:\Users\Михаил\AppData\Local\26911', '*', true);
DeleteFileMask('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater', '*', true);
DeleteFileMask('C:\Users\Михаил\appdata\roaming\aspackage', '*', true);
DeleteDirectory('c:\program files\wajaneten');
DeleteDirectory('c:\program files (x86)\mail.ru');
DeleteDirectory('c:\programdata\6wdm6');
DeleteDirectory('C:\Users\Михаил\AppData\Local\Mail.Ru');
DeleteDirectory('C:\Users\Михаил\AppData\Local\Amigo');
DeleteDirectory('C:\Users\Михаил\AppData\Local\26911');
DeleteDirectory('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater');
DeleteDirectory('C:\Users\Михаил\appdata\roaming\aspackage');
ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExd" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExi" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "RenewalService" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "MicrosoftUpdater" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
04.02.2016, 09:10
Иван Стрелков

Вложений: 1

Загрузил.
04.02.2016, 10:13
Vvvyg

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
; C:\USERS\МИХАИЛ\APPDATA\ROAMING\6A5F9A6D-897E-4F70-BA85-57890C7ECF74\6A5F9A6D-897E-4F70-BA85-57890C7ECF74.EXE
zoo %SystemDrive%\USERS\МИХАИЛ\APPDATA\ROAMING\6A5F9A6D-897E-4F70-BA85-57890C7ECF74\6A5F9A6D-897E-4F70-BA85-57890C7ECF74.EXE
addsgn 1A174A9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B48029771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 BehavesLike.Win32.Multiplug.ch [McAfee]
; C:\USERS\МИХАИЛ\APPDATA\LOCAL\26911\UPDATER.EXE
addsgn 1A46509A5583338CF42BFB3A884B6F0D25FED109FCF275787AF6817511D68E5953178257BB95E8517D687D914616C20A82CAA47214DAE0C4D379A42F9E8F242D 8 Trojan.Amonetize.12029 [DrWeb]
zoo %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\26911\UPDATER.EXE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
regt 28
regt 29
;-------------------------------------------------------------
deldir %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\AAWAWJP
deldir %SystemDrive%\PROGRAMDATA\BYHQIK
deldir %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\26911
deldir %SystemDrive%\USERS\МИХАИЛ\APPDATA\ROAMING\6A5F9A6D-897E-4F70-BA85-57890C7ECF74
uidel C:\Users\Михаил\AppData\Local\26911\Updater.exe /uninstall
uidel C:\Program Files\WajaNetEn\d2831d31bc168cb90ec8e421cf5e9655.exe
delref %SystemDrive%\PROGRAMDATA\RENEWALSERVICE\SERVICE.EXE
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.163\SSSCHEDULER.EXE
delref %Sys32%\DRIVERS\REFS.SYS
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.163\MCCHSVC.EXE
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCCTXMNU.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\MQS\SHRCORE.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\MPF\MPFPP.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MVSAP.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCOASSHM.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCVSPS.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\MQS\SHREDEXT.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
delref %SystemDrive%\USERS\8FEE~1\APPDATA\LOCAL\TEMP\AMISETUP5750__17519.EXE
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\TEMP\HIRU\JSSYS3.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.163\MCUICNT.EXE
deltmp
czoo
restart[/code]Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]AdwCleaner (by Xplode)[/URL].
04.02.2016, 10:52
Иван Стрелков

Вложений: 1

Готово.
04.02.2016, 12:29
Vvvyg

А карантин, а лог выполнения скрипта?

Запустите повторно [B]AdwCleaner (by Xplode) [/B](в [B]Windows Vista/7/8[/B] необходимо запускать через правую кнопку мыши [B]от имени администратора)[/B]), нажмите кнопку [B]Сканировать[/B] (Scan), по окончании сканирования уберите галочки на вкладках [B]Папки[/B] (Folders) и [B]Реестр[/B] (Registry) со всех пунктов, где упоминаются Mail.Ru, Zona и MediaGet [B]если используете соответствующие программы[/B].

Установите в пункте меню "Настройки" (Settings) галочку "[B]Сброс политик Chrome[/B]" .
Затем нажмите [B]Очистка[/B] ([B]Cleaning[/B]) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.