Setup Wizard [not-a-virus:RiskTool.Win32.SystemTweaker.g, not-a-virus:AdWare.Win32.Vopak.bgsi]

[Сергей1991]

Помогите, постоянно вискакивает Setup wizard и устанавливаються разние програми. Не знаю как удалить.

[Info_bot]

Уважаемый(ая) Сергей1991, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\temp\3077.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1456740395-0500-0006-000700080009\knsp16b7.tmp');
 StopService('tubehikyzbt');
 QuarantineFile('c:\windows\temp\3077.tmp', '');
 QuarantineFile('c:\program files (x86)\03000200-1456740395-0500-0006-000700080009\knsp16b7.tmp', '');
 QuarantineFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\idscservice.exe', '');
 QuarantineFile('C:\Users\Sergey\AppData\Local\Amigo\Application\vk.exe', '');
 QuarantineFile('C:\Users\Sergey\AppData\Local\Amigo\Application\amigo.exe', '');
 QuarantineFile('C:\Users\Sergey\AppData\Local\Amigo\Application\ok.exe', '');
 QuarantineFile('C:\Users\Sergey\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '');
 QuarantineFile('C:\Program Files (x86)\RCP\RegCleanPro.exe', '');
 QuarantineFile('C:\Users\Sergey\AppData\Roaming\istartpageing\UninstallManager.exe', '');
 QuarantineFile('C:\Users\Sergey\appdata\roaming\aspackage\aspackage.exe', '');
 QuarantineFile('C:\Users\Sergey\appdata\roaming\aspackage\uninstall.exe', '');
 QuarantineFile('C:\Program Files\contentprotector\conprotsetup.exe', '');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_DEFAULT.job', '64');
 DeleteFile('C:\Windows\Tasks\RegClean Pro_UPDATES.job', '64');
 DeleteFile('c:\windows\temp\3077.tmp', '32');
 DeleteFile('c:\program files (x86)\03000200-1456740395-0500-0006-000700080009\knsp16b7.tmp', '32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\idscservice.exe', '32');
 DeleteFile('C:\Users\Sergey\AppData\Local\Amigo\Application\vk.exe', '32');
 DeleteFile('C:\Users\Sergey\AppData\Local\Amigo\Application\amigo.exe', '32');
 DeleteFile('C:\Users\Sergey\AppData\Local\Amigo\Application\ok.exe', '32');
 DeleteFile('C:\Users\Sergey\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll', '32');
 DeleteFile('C:\Program Files (x86)\RCP\RegCleanPro.exe', '32');
 DeleteFile('C:\Users\Sergey\AppData\Roaming\istartpageing\UninstallManager.exe', '32');
 DeleteFile('C:\Users\Sergey\appdata\roaming\aspackage\aspackage.exe', '32');
 DeleteFile('C:\Users\Sergey\appdata\roaming\aspackage\uninstall.exe', '32');
 DeleteFile('C:\Program Files\contentprotector\conprotsetup.exe', '32');
 DeleteService('tubehikyzbt');
 DeleteService('Updater.Mail.Ru');
 DeleteFileMask('C:\Program Files (x86)\Mail.Ru', '*', true);
 DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
 DeleteFileMask('C:\Users\Sergey\AppData\Local\Amigo', '*', true);
 DeleteFileMask('C:\Users\Sergey\AppData\Local\Mail.Ru', '*', true);
 DeleteFileMask('C:\Program Files (x86)\RCP', '*', true);
 DeleteFileMask('C:\Users\Sergey\AppData\Roaming\istartpageing', '*', true);
 DeleteFileMask('C:\Users\Sergey\appdata\roaming\aspackage', '*', true);
 DeleteFileMask('C:\Program Files\contentprotector', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Mail.Ru');
 DeleteDirectory('C:\Program Files\SpaceSoundPro');
 DeleteDirectory('C:\Users\Sergey\AppData\Local\Amigo');
 DeleteDirectory('C:\Users\Sergey\AppData\Local\Mail.Ru');
 DeleteDirectory('C:\Program Files (x86)\RCP');
 DeleteDirectory('C:\Users\Sergey\AppData\Roaming\istartpageing');
 DeleteDirectory('C:\Users\Sergey\appdata\roaming\aspackage');
 DeleteDirectory('C:\Program Files\contentprotector');
 DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 ExecuteFile('schtasks.exe', '/delete /TN "RegClean Pro" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RegClean Pro_DEFAULT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "RegClean Pro_UPDATES" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{DA45154C-4361-4D42-8382-0C64AF225264}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'IDSCPRODUCT');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

Сделайте лог AdwCleaner (by Xplode).

[Сергей1991]

Все сделал. Проблема осталась.

[Vvvyg]

Удалите всё найденное в AdwCleaner, дождитесь окончания удаления и перезагрузите систему по требованию программы.
После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C1].txt, прикрепите к своему следующему сообщению.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Сергей1991]

Готово.

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [mpck_en_005030252] => [X]
HKU\S-1-5-21-3068555430-3140407429-2914985059-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=821585
SearchScopes: HKU\S-1-5-21-3068555430-3140407429-2914985059-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BB2F831CB-E55F-46D8-86F6-D78B2A24AFD3%7D&gp=821586
SearchScopes: HKU\S-1-5-21-3068555430-3140407429-2914985059-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BB2F831CB-E55F-46D8-86F6-D78B2A24AFD3%7D&gp=821586
CHR StartupUrls: Default -> "hxxp://www.parimatch.com/vfl.html","hxxps://www.parimatch.com/history.html?idpay=&pntr=0&modeSelect=1&range=1&onpage=20","chrome://extensions/","hxxps://chrome.google.com/webstore/search/%D0%B2%D0%B8%D0%B7%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%B8%D0%B5%20%D0%B7%D0%B0%D0%BA%D0%BB%D0%B0%D0%B4%D0%BA%D0%B8?hl=uk&_category=apps","hxxp://mybrowserpage.com/","hxxp://www.istartpageing.com/?type=hp&ts=1456815548&z=4e6c5e38bc077c655764682gaz6w0qeb8g9w5wbz5m&from=cmi&uid=TOSHIBAXDT01ACA050_X2674E9GSXXX2674E9GSX","hxxp://www.yoursearching.com/?type=hp&ts=1456902585&z=8545adae6ee31af3e3fc822gez9wcq2t2eeo0w8b9c&from=brd&uid=TOSHIBAXDT01ACA050_X2674E9GSXXX2674E9GSX"
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
2016-03-02 09:16 - 2016-03-02 09:16 - 00000000 ____D C:\Users\Sergey\AppData\Roaming\Enigma Software Group
2016-02-29 12:10 - 2016-02-29 12:10 - 00000000 ____D C:\Users\Sergey\AppData\Roaming\ProductData
2016-02-29 12:09 - 2016-02-29 12:09 - 00000000 ____D C:\ProgramData\ProductData
2016-02-29 12:09 - 2016-02-29 12:09 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2016-02-29 12:05 - 2016-03-02 11:40 - 00000000 ____D C:\Users\Sergey\AppData\Local\Hostinstaller
2016-02-29 12:05 - 2016-02-29 12:09 - 00000000 ____D C:\Users\Sergey\AppData\Roaming\TextEditor
Task: {32945673-1374-4155-B540-0728F54E4D3B} - \SpyHunter4Startup -> No File <==== ATTENTION
FirewallRules: [{6F0A3497-B1D8-453F-BD40-F6768431453C}] => (Allow) C:\Users\Sergey\AppData\Local\Amigo\Application\amigo.exe
2016-02-29 12:09 - 2016-02-29 12:09 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

[Сергей1991]

Проблемы больше не наблюдаю. Спасибо.

[Vvvyg]

Запустите AdwCleaner и нажмите Деинсталлировать (Uninstall).

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\rcp\regcleanpro.exe - not-a-virus:RiskTool.Win32.SystemTweaker.g ( DrWEB: Program.Unwanted.971 )
  2. c:\program files\contentprotector\conprotsetup.exe - not-a-virus:NetTool.Win64.NetFilter.l
  3. c:\users\sergey\appdata\roaming\aspackage\aspackag e.exe - not-a-virus:AdWare.Win32.Vopak.bgsi
  4. c:\users\sergey\appdata\roaming\aspackage\uninstal l.exe - not-a-virus:AdWare.Win32.Vopak.bgsh