Автоматиеская установка приложений после китайского антивируса

[Аня Штанько]

Добрый день!
Устанавливала UnityPlayer и по глупой случайности скачала установочный файл не с офф сайта.
Теперь у меня в любой момент закрывается браузер и начинается установка приложений.
Защитник ругается, закрывает установку, удаляет.
Прикрепляю все возможные логи.

[Info_bot]

Уважаемый(ая) Аня Штанько, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} =>  No File
HKU\S-1-5-21-3555142059-1770612935-10048777-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=789185
SearchScopes: HKU\S-1-5-21-3555142059-1770612935-10048777-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6F064D2A-6FD5-4AB3-94DD-2C7FB81351A2%7D&gp=789235
SearchScopes: HKU\S-1-5-21-3555142059-1770612935-10048777-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B6F064D2A-6FD5-4AB3-94DD-2C7FB81351A2%7D&gp=789235
FF SelectedSearchEngine: Поиск@Mail.Ru
FF Keyword.URL: hxxp://go.mail.ru/distib/ep/?product_id=%7B82D07A1B-B98B-4389-9A0A-DA5BFCCD22ED%7D&gp=789235
CHR NewTab: Default -> "chrome-extension://iflppbjnpneiigcbdfjpnkebidmkjmoi/visual-bookmarks.html",
				"chrome-extension://oelpkepjlgmehajehfeicfbjdiobdkfj/visual-bookmarks.html",
CHR DefaultSearchURL: Default -> hxxp://mysites123.com/web?type=ds&ts=1454252164&z=3da306645d6708f7f72e223gdzdwez2o1weo7g7q5z&from=amt&uid=st500lt012-1dg142_w3p978ryxxxxw3p978ry&q={searchTerms}
CHR DefaultSearchKeyword: Default -> mysites123
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR Extension: (Quick Searcher) - C:\Users\Аничка\AppData\Local\Google\Chrome\User Data\Default\Extensions\cagkfnokdfofofnblbpfjnapdojmoffn [2016-01-26]
CHR Extension: (Mail.Ru) - C:\Users\Аничка\AppData\Local\Google\Chrome\User Data\Default\Extensions\eioddfaepdoeifbhjphfefgipcjcdieo [2016-01-26]
CHR Extension: (Визуальные Закладки Mail.Ru) - C:\Users\Аничка\AppData\Local\Google\Chrome\User Data\Default\Extensions\iflppbjnpneiigcbdfjpnkebidmkjmoi [2016-01-27]
CHR Extension: (Менеджер Визуальных Закладок Mail.Ru) - C:\Users\Аничка\AppData\Local\Google\Chrome\User Data\Default\Extensions\oelpkepjlgmehajehfeicfbjdiobdkfj [2016-01-26]
CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Аничка\AppData\Local\Google\Chrome\User Data\Default\Extensions\ppoilmfkbpckodoifdlkmkepcajfjmhl [2016-01-27]
CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx
2016-01-31 16:53 - 2016-01-31 16:53 - 00000177 _____ C:\Users\Аничка\Desktop\Искать в Интернете.url
2016-01-26 18:10 - 2016-01-26 18:10 - 00000000 ____D C:\Users\Аничка\AppData\Roaming\weipinhui
2016-01-26 18:09 - 2016-01-26 18:09 - 00000000 ____D C:\Users\Аничка\AppData\Roaming\kingsoft
2016-01-26 17:21 - 2016-01-26 18:09 - 00000000 ____D C:\ProgramData\kingsoft
2016-01-26 16:22 - 2016-01-26 15:46 - 00000856 _____ C:\WINDOWS\system32\Drivers\etc\hp.bak
2016-01-26 16:11 - 2016-01-26 16:11 - 00000000 ____D C:\QMDownload
2016-01-26 16:00 - 2016-01-26 16:00 - 00000000 ____D C:\Users\理梓赅\AppData\Roaming\Tencent
2016-01-26 16:00 - 2016-01-26 16:00 - 00000000 ____D C:\Users\理梓赅
2016-01-26 15:49 - 2016-01-26 15:49 - 00000000 ____D C:\Users\Аничка\AppData\Roaming\MicrosoftUpdater
2016-01-26 15:49 - 2016-01-26 15:49 - 00000000 ____D C:\Users\Public\Documents\GenieSoft
2016-01-26 15:47 - 2016-01-26 15:49 - 00000000 ____D C:\Users\Аничка\AppData\Roaming\MailProducts
2016-01-26 15:47 - 2016-01-26 15:47 - 00000000 ____D C:\Users\Аничка\AppData\Local\Hostinstaller
2016-01-26 15:46 - 2016-01-26 15:46 - 00000000 ____D C:\Users\Все пользователи\yjxEOw
2016-01-26 15:46 - 2016-01-26 15:46 - 00000000 ____D C:\Users\Все пользователи\ohVkllfjf
2016-01-26 15:46 - 2016-01-26 15:46 - 00000000 ____D C:\Users\Все пользователи\fzKqgIKIWP
Task: {A8173D16-F61B-4C0E-94EF-9F24120F912D} - System32\Tasks\Microsoft\Windows\MicrosoftUpdater => C:\Users\Аничка\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe [2016-01-26] ()
FirewallRules: [{039F5BB2-8917-4918-B945-B82C71056FA9}] => (Allow) C:\Users\Аничка\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сделайте лог AVZ, только теперь в соответствии с правилами.

[Аня Штанько]

Vvvyg, спасибо за помощь
начинает ставится всякий хлам приблизительно в 16:52 каждый день

[Vvvyg]

Фикс в Farbar Recovery Scan Tool сделали? Тогда Fixlog.txt приложите.

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\Аничка\AppData\Local\31878\Updater.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job', '64');
 DeleteFile('C:\Users\Аничка\AppData\Local\31878\Updater.exe', '32');
 DeleteFileMask('C:\Users\Аничка\AppData\Local\31878', '*', true);
 DeleteDirectory('C:\Users\Аничка\AppData\Local\31878');
 ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp" /F', 0, 15000, true);
ExecuteSysClean;
RebootWindows(false);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог AdwCleaner.