Постоянная установка программ.

**Иван Стрелков** · 03.02.2016, 09:09

Добрый день, постоянно устанавливается разный мусор на пк. Пытался чистить, но каждое утро программы опять стоят. Просьба помочь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 03.02.2016, 09:10

Уважаемый(ая) Иван Стрелков, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 03.02.2016, 23:18

Advanced PC Care, Mail.Ru updater - надеюсь, тоже не сами устанавливали? А Zona?

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files\wajaneten\4af1848c47b1af9d332ef881438c08a9.exe');
 TerminateProcessByName('C:\Program Files\WajaNetEn\7544a102708d749972d46ebabbe03bc4.exe');
 TerminateProcessByName('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe');
 TerminateProcessByName('c:\programdata\6wdm6\wdman.exe');
 StopService('Updater.Mail.Ru');
 StopService('WdMan');
 StopService('WajaNetEn Monitor');
 QuarantineFileF('c:\program files\wajaneten', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('C:\Users\Михаил\appdata\roaming\aspackage', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\program files\wajaneten\4af1848c47b1af9d332ef881438c08a9.exe', '');
 QuarantineFile('C:\Program Files\WajaNetEn\7544a102708d749972d46ebabbe03bc4.exe', '');
 QuarantineFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '');
 QuarantineFile('c:\programdata\6wdm6\wdman.exe', '');
 QuarantineFile('c:\program files\wajaneten\WajaNetEnlibs\cxiphq.dll', '');
 QuarantineFile('C:\Users\Михаил\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
 QuarantineFile('C:\Users\Михаил\AppData\Local\AawAWJP\MeIRgKR1.bat', '');
 QuarantineFile('C:\Users\Михаил\AppData\Local\Amigo\Application\amigo.exe', '');
 QuarantineFile('C:\Users\Михаил\AppData\Local\26911\Updater.exe', '');
 QuarantineFile('C:\Users\8FEE~1\AppData\Local\Temp\task.vbs', '');
 QuarantineFile('C:\Users\8FEE~1\AppData\Local\Temp\amiupdater1142.exe', '');
 QuarantineFile('C:\ProgramData\RenewalService\Service.exe', '');
 QuarantineFile('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe', '');
 QuarantineFile('C:\Users\Михаил\appdata\roaming\aspackage\aspackage.exe', '');
 QuarantineFile('C:\Users\Михаил\appdata\roaming\aspackage\uninstall.exe', '');
 DeleteFile('C:\WINDOWS\Tasks\AmiUpdXp.job', '64');
 DeleteFile('c:\program files\wajaneten\4af1848c47b1af9d332ef881438c08a9.exe', '32');
 DeleteFile('C:\Program Files\WajaNetEn\7544a102708d749972d46ebabbe03bc4.exe', '32');
 DeleteFile('c:\program files (x86)\mail.ru\mailruupdater\mailruupdater.exe', '32');
 DeleteFile('c:\programdata\6wdm6\wdman.exe', '32');
 DeleteFile('c:\program files\wajaneten\WajaNetEnlibs\cxiphq.dll', '32');
 DeleteFile('C:\Users\Михаил\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
 DeleteFile('C:\Users\Михаил\AppData\Local\AawAWJP\MeIRgKR1.bat', '32');
 DeleteFile('C:\Users\Михаил\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\Михаил\AppData\Local\26911\Updater.exe', '32');
 DeleteFile('C:\Users\8FEE~1\AppData\Local\Temp\task.vbs', '32');
 DeleteFile('C:\Users\8FEE~1\AppData\Local\Temp\amiupdater1142.exe', '32');
 DeleteFile('C:\ProgramData\RenewalService\Service.exe', '32');
 DeleteFile('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater\MicrosoftUpdater.exe', '32');
 DeleteFile('C:\Users\Михаил\appdata\roaming\aspackage\aspackage.exe', '32');
 DeleteFile('C:\Users\Михаил\appdata\roaming\aspackage\uninstall.exe', '32');
 DeleteService('Updater.Mail.Ru');
 DeleteService('WdMan');
 DeleteService('WajaNetEn Monitor');
 DeleteFileMask('c:\program files\wajaneten', '*', true);
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\programdata\6wdm6', '*', true);
 DeleteFileMask('C:\Users\Михаил\AppData\Local\Mail.Ru', '*', true);
 DeleteFileMask('C:\Users\Михаил\AppData\Local\Amigo', '*', true);
 DeleteFileMask('C:\Users\Михаил\AppData\Local\26911', '*', true);
 DeleteFileMask('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater', '*', true);
 DeleteFileMask('C:\Users\Михаил\appdata\roaming\aspackage', '*', true);
 DeleteDirectory('c:\program files\wajaneten');
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\programdata\6wdm6');
 DeleteDirectory('C:\Users\Михаил\AppData\Local\Mail.Ru');
 DeleteDirectory('C:\Users\Михаил\AppData\Local\Amigo');
 DeleteDirectory('C:\Users\Михаил\AppData\Local\26911');
 DeleteDirectory('C:\Users\Михаил\AppData\Roaming\MicrosoftUpdater');
 DeleteDirectory('C:\Users\Михаил\appdata\roaming\aspackage');
 ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "amiupdaterExi" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "AmiUpdXp" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RenewalService" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MicrosoftUpdater" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MailRuUpdater');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Иван Стрелков** · 04.02.2016, 09:10

Загрузил.

**Vvvyg** · 04.02.2016, 10:13

Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
; C:\USERS\МИХАИЛ\APPDATA\ROAMING\6A5F9A6D-897E-4F70-BA85-57890C7ECF74\6A5F9A6D-897E-4F70-BA85-57890C7ECF74.EXE
zoo %SystemDrive%\USERS\МИХАИЛ\APPDATA\ROAMING\6A5F9A6D-897E-4F70-BA85-57890C7ECF74\6A5F9A6D-897E-4F70-BA85-57890C7ECF74.EXE
addsgn 1A174A9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B48029771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 BehavesLike.Win32.Multiplug.ch [McAfee]
; C:\USERS\МИХАИЛ\APPDATA\LOCAL\26911\UPDATER.EXE
addsgn 1A46509A5583338CF42BFB3A884B6F0D25FED109FCF275787AF6817511D68E5953178257BB95E8517D687D914616C20A82CAA47214DAE0C4D379A42F9E8F242D 8 Trojan.Amonetize.12029 [DrWeb]
zoo %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\26911\UPDATER.EXE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI\5.0.1_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
regt 28
regt 29
;-------------------------------------------------------------
deldir %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\AAWAWJP
deldir %SystemDrive%\PROGRAMDATA\BYHQIK
deldir %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\26911
deldir %SystemDrive%\USERS\МИХАИЛ\APPDATA\ROAMING\6A5F9A6D-897E-4F70-BA85-57890C7ECF74
uidel  C:\Users\Михаил\AppData\Local\26911\Updater.exe /uninstall
uidel  C:\Program Files\WajaNetEn\d2831d31bc168cb90ec8e421cf5e9655.exe
delref %SystemDrive%\PROGRAMDATA\RENEWALSERVICE\SERVICE.EXE
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.163\SSSCHEDULER.EXE
delref %Sys32%\DRIVERS\REFS.SYS
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.163\MCCHSVC.EXE
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCCTXMNU.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\MQS\SHRCORE.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\MPF\MPFPP.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MVSAP.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCOASSHM.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCVSPS.DLL
delref %SystemDrive%\PROGRA~1\MCAFEE\MQS\SHREDEXT.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
delref %SystemDrive%\USERS\8FEE~1\APPDATA\LOCAL\TEMP\AMISETUP5750__17519.EXE
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\TEMP\HIRU\JSSYS3.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.163\MCUICNT.EXE
deltmp
czoo
restart

Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте лог AdwCleaner (by Xplode).

**Иван Стрелков** · 04.02.2016, 10:52

Готово.

**Vvvyg** · 04.02.2016, 12:29

А карантин, а лог выполнения скрипта?

Запустите повторно AdwCleaner (by Xplode) (в Windows Vista/7/8 необходимо запускать через правую кнопку мыши от имени администратора)), нажмите кнопку Сканировать (Scan), по окончании сканирования уберите галочки на вкладках Папки (Folders) и Реестр (Registry) со всех пунктов, где упоминаются Mail.Ru, Zona и MediaGet если используете соответствующие программы.

Установите в пункте меню "Настройки" (Settings) галочку "Сброс политик Chrome" .
Затем нажмите Очистка (Cleaning) и по окончании удаления перезагрузите систему по требованию программы.

После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Постоянная установка программ. (заявка № 196690)

Опции темы