Мой компьютер сам устанавливает программы.. Помогите пожалуйста... [Backdoor.Win32.Androm.megc, not-a-virus:AdWare.MSIL.Agent.adac ]

**kudrish** · 02.01.2017, 18:03

появляются ярлыки игр, в диспетчере задач очень много посторонних процессов..

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.01.2017, 18:04

Уважаемый(ая) kudrish, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mrak74** · 03.01.2017, 06:43

Здравствуйте !!!

отключите антивирусную программу

Выполните скрипт в AVZ:(в Windows Vista/7/8/10 программу необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

begin
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  TerminateProcessByName('c:\program files\spacesoundpro\wizzcaster.exe');
  TerminateProcessByName('c:\programdata\logic handler\set.exe');
  TerminateProcessByName('c:\users\maks\appdata\roaming\vdi\shared\product updater\produpd.exe');
  TerminateProcessByName('c:\programdata\networkpacketmanitor\nettrans.exe');
  TerminateProcessByName('c:\users\maks\appdata\local\temp\mymve8fw8\mymve8fw8.exe');
  TerminateProcessByName('c:\users\maks\appdata\roaming\vdi\shared\product updater\monhost.exe');
  TerminateProcessByName('c:\program files\spacesoundpro\5r8gfckyw5.exe');
  TerminateProcessByName('c:\program files\spacesoundpro\17kgym.exe');
  StopService('Nettrans');
  StopService('backlh');
  QuarantineFile('C:\Program Files\spacesoundpro\uninstaller.exe','');
  QuarantineFile('C:\Users\Maks\appdata\roaming\mydesktop\linkme.exe','');
  QuarantineFile('C:\Users\Maks\AppData\Roaming\Adobe\Manager.exe','');
  QuarantineFile('C:\Users\Maks\AppData\Roaming\SafeWeb\python\pythonw.exe','');
  QuarantineFile('C:\Users\Maks\AppData\Roaming\SafeWeb\ml.py','');
  QuarantineFile('C:\Users\Maks\LOCALS~1\Temp\msvafk.cmd','');
  QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\msotiy.exe','');
  QuarantineFile('C:\Users\Maks\AppData\Local\Temp\0HQSZWFPJI.exe','');
  QuarantineFile('C:\Program Files\IconRunner\MoneyBot.exe','');
  QuarantineFile('C:\Users\Maks\AppData\Roaming\Sturyprolly\Qolespozse.dll','');
  QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.dll','');
  QuarantineFile('C:\Program Files\Fijick\Release11922.dll','');
  QuarantineFile('c:\program files\fijick\grjverfier.dll','');
  QuarantineFile('C:\Program Files\Awestarerry Provider\local32spl.dll','');
  QuarantineFile('c:\program files\spacesoundpro\wizzcaster.exe','');
  QuarantineFile('c:\programdata\logic handler\set.exe','');
  QuarantineFile('c:\users\maks\appdata\roaming\vdi\shared\product updater\produpd.exe','');
  QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe','');
  QuarantineFile('c:\users\maks\appdata\local\temp\mymve8fw8\mymve8fw8.exe','');
  QuarantineFile('c:\users\maks\appdata\roaming\vdi\shared\product updater\monhost.exe','');
  QuarantineFile('c:\program files\spacesoundpro\5r8gfckyw5.exe','');
  QuarantineFile('c:\program files\spacesoundpro\17kgym.exe','');
  DeleteFile('c:\program files\spacesoundpro\5r8gfckyw5.exe','32');
  DeleteFile('c:\users\maks\appdata\local\temp\mymve8fw8\mymve8fw8.exe','32');
  DeleteFile('c:\users\maks\appdata\roaming\vdi\shared\product updater\produpd.exe','32');
  DeleteFile('c:\program files\spacesoundpro\wizzcaster.exe','32');
  DeleteFile('C:\Program Files\Awestarerry Provider\local32spl.dll','32');
  DeleteFile('C:\Program Files\Fijick\Release11922.dll','32');
  DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.dll','32');
  DeleteFile('C:\Users\Maks\AppData\Roaming\Sturyprolly\Qolespozse.dll','32');
  DeleteFile('C:\ProgramData\Logic Handler\set.exe','32');
  DeleteFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe','32');
  DeleteFile('C:\Program Files\SpaceSoundPro\17KGYM.exe','32');
  DeleteFile('C:\Users\Maks\AppData\Local\Temp\0HQSZWFPJI.exe','32');
  DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\msotiy.exe','32');
  DeleteFile('C:\Program Files\Fijick\Grjverfier.dll','32');
  DeleteFile('C:\Users\Maks\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe','32');
  DeleteFile('C:\Users\Maks\AppData\Roaming\SafeWeb\ml.py','32');
  DeleteFile('C:\Users\Maks\AppData\Roaming\SafeWeb\python\pythonw.exe','32');
  DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','32');
  DeleteFile('C:\Users\Maks\appdata\roaming\adobe\manager.exe','32');
  DeleteFile('C:\Users\Maks\appdata\roaming\mydesktop\linkme.exe','32');
  DeleteFile('C:\Program Files\iconrunner\moneybot.exe','32');
  DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IconRunner');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IDSCPRODUCT');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','OTUTPRODUCT_Q4OFI');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks','{4445065A-CB6C-11E6-8922-64006A5CFC23}');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','12827');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Pleherty\Parameters','ServiceDll');
  DeleteService('Nettrans');
  DeleteService('backlh');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин
- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**kudrish** · 03.01.2017, 09:05

Спасибо огромное все получилось...

**mrak74** · 03.01.2017, 16:53

Выполните скрипт в AVZ:

Код:

begin
  ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
  ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
  TerminateProcessByName('c:\programdata\windowstm\paired.exe');
  QuarantineFile('C:\Users\Maks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
  QuarantineFile('C:\Users\Maks\LOCALS~1\Temp\msvafk.cmd','');
  QuarantineFile('C:\PROGRA~2\LOCALS~1\Temp\msotiy.exe','');
  QuarantineFile('C:\ProgramData\WindowsT\pair.exe','');
  QuarantineFile('c:\programdata\windowstm\paired.exe','');
  DeleteFile('C:\Users\Maks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs');
  DeleteFile('c:\programdata\windowstm\paired.exe','32');
  DeleteFile('C:\ProgramData\WindowsT\pair.exe','32');
  DeleteFile('C:\PROGRA~2\LOCALS~1\Temp\msotiy.exe','32');
  DeleteFile('C:\Users\Maks\LOCALS~1\Temp\msvafk.cmd','32');
  DeleteFile('C:\Users\Maks\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','a9n9qwe');
  RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','a9n9qwe');
  RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','12827');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки выполните скрипт:

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Загрузите quarantine.zip из папки AVZ по красной ссылке вверху темы Прислать запрошенный карантин

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

**CyberHelper** · 03.01.2017, 17:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 55
В ходе лечения обнаружены вредоносные программы:
1. c:\programdata\logic handler\set.exe - not-a-virus:WebToolbar.MSIL.Agent.bkqa
2. c:\programdata\networkpacketmanitor\nettrans.exe - not-a-virus:WebToolbar.Win32.Linkury.aqy
3. c:\progra~2\locals~1\temp\msotiy.exe - Backdoor.Win32.Androm.megc
4. c:\users\maks\appdata\local\temp\mymve8fw8\mymve8f w8.exe - not-a-virus:AdWare.MSIL.Agent.adac
5. c:\users\maks\appdata\roaming\vdi\shared\product updater\monhost.exe - HEUR:Trojan.Win32.Generic
6. c:\users\maks\appdata\roaming\vdi\shared\product updater\produpd.exe - HEUR:Trojan.Win32.Generic
7. c:\users\maks\locals~1\temp\msvafk.cmd - Backdoor.Win32.Androm.megc

Мой компьютер сам устанавливает программы.. Помогите пожалуйста... [Backdoor.Win32.Androm.megc, not-a-virus:AdWare.MSIL.Agent.adac ] (заявка № 207619)

Опции темы