Последнее время выскакивает в винде какие-то непонятные инсталяшки, отменить нечего нельзя, а как закрываю через диспетчер задач, так она закрывается и пишет "Finishing installation", после выкидывает на сайт thankyouinstall.com. Что делать? чем лечить ?!
Причем в диспетчере задач каждый раз инсталлятор по разному называется, то какие-то dotapitseason4, то что-то еще..
Заранее благодарю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) iniart, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Здравствуйте,
Не прикладывайте карантин как вложение, только загружайте по ссылке "Прислать запрошенный карантин" вверху темы.
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
После выполнения скрипта компьютер перезагрузится.Код:begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); StopService('afoir'); StopService('caMyciloP'); StopService('rkdownilad'); StopService('serfev'); DeleteService('afoir'); DeleteService('caMyciloP'); DeleteService('rkdownilad'); DeleteService('serfev'); QuarantineFile('C:\Program Files (x86)\MTV20160128\MTView.exe',''); QuarantineFile('C:\Program Files (x86)\Xfer Records\Serum\MiniHostModular.exe',''); QuarantineFile('C:\Program Files\VSTPlugins\Serum_x64.dll',''); QuarantineFile('C:\ProgramData\afoir\afoir.exe',''); QuarantineFile('C:\ProgramData\caMyciloP\caMyciloP.exe',''); QuarantineFile('C:\ProgramData\serfev\Homejoyhold.dll',''); QuarantineFile('C:\ProgramData\serfev\serfev.exe',''); QuarantineFile('C:\PROGRA~2\QUICKV~1\PROGRAM\QVPSE4.DLL',''); QuarantineFile('C:\Users\Martin\AppData\Local\Domcan.exe',''); QuarantineFile('C:\Users\Martin\appdata\roaming\freevpn\freevpn.exe',''); QuarantineFile('C:\Windows\csrss.exe',''); QuarantineFile('C:\Windows\svchost.exe',''); QuarantineFile('C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_20_0_0_306_Plugin.exe',''); DeleteFile('C:\Program Files (x86)\MTV20160128\MTView.exe','32'); DeleteFile('C:\ProgramData\afoir\afoir.exe','32'); DeleteFile('C:\ProgramData\caMyciloP\caMyciloP.exe','32'); DeleteFile('C:\ProgramData\serfev\Homejoyhold.dll','32'); DeleteFile('C:\ProgramData\serfev\serfev.exe','32'); DeleteFile('C:\Users\Martin\AppData\Roaming\FreeVPN\FreeVPN.exe','32'); DeleteFile('C:\Windows\csrss.exe','32'); DeleteFile('C:\Windows\svchost.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\SystemRestore\FreeVPN','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrent'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в AVZ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Добрый вечер.
Спасибо за ответ, сделал всё как вы написали,
вверху темы приложил карантинный архив и сюда прикреплю лог AdwCleaner`a.
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Сделано.
- Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Готово
Сами устанавливали BitTorrent как службу?
S4 BitTorrent; "C:\Program Files\BitTorrent\BitTorrent.exe" /s iid=4752250 did=APSnapdoAMRev sid=3 ref=31fa092d-8ee2-7946-bba4-ac95dbfb87bf-PolicyMac id=9cea554aa08b9dc59ff537cae7a142cb360d19683b0e5b4 827d3c32b8c97eab1 [X]
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: ShellExecuteHooks-x32: Quick View Plus - ShellExecute Hook - {0cab0400-7395-11d0-a5e5-0020afe2fdd9} - qvphook.dll No File [ ] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://api.youqian.baidu.com/v1/nav?soft=12&uid=50123650&guid=1a997b4c944a03621a8429db2758b855&vd=2120409124 SearchScopes: HKLM-x32 -> DefaultScope value is missing BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL => No File FF Plugin HKU\.DEFAULT: @hola.org/FlashPlayer -> C:\Users\Martin\AppData\Local\Hola\firefox_hola\app\flash\NPSWF32_18_0_0_232.dll [No File] FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Users\Martin\AppData\Roaming\Mozilla\Firefox\Profiles\en0lhjw5.default\extensions\[email protected] => not found CHR HKLM-x32\...\Chrome\Extension: [ckjefchnfjhjfedoccjbhjpbncimppeg] - hxxps://clients2.google.com/service/update2/crx Folder: C:\Users\Martin\AppData\Roaming\vnlgp Folder: C:\Users\Martin\AppData\Roaming\Xfer Folder: C:\ProgramData\Waves Audio 2016-02-18 11:21 - 2016-02-18 11:21 - 3068556 _____ () C:\Program Files\Common Files\31nu2vr0.exe 2016-02-17 00:20 - 2016-02-17 00:20 - 3066974 _____ () C:\Program Files\Common Files\33pmu3bc.exe 2016-02-18 12:21 - 2016-02-18 12:21 - 3303779 _____ () C:\Program Files\Common Files\lbuwfweu.exe 2016-02-16 04:49 - 2016-02-16 04:49 - 3067100 _____ () C:\Program Files\Common Files\mzj5vzt2.exe 2016-02-16 22:33 - 2016-02-16 22:33 - 3070787 _____ () C:\Program Files\Common Files\oj3i3vsf.exe 2016-02-16 16:42 - 2016-02-16 16:42 - 3064632 _____ () C:\Program Files\Common Files\pmflcqoq.exe 2016-02-16 03:49 - 2016-02-16 03:49 - 3052388 _____ () C:\Program Files\Common Files\ryjjug3n.exe 2016-02-11 21:12 - 2016-02-11 21:12 - 7767040 _____ () C:\Users\Martin\AppData\Roaming\agent.dat 2016-02-11 21:12 - 2016-02-11 21:12 - 0062976 _____ () C:\Users\Martin\AppData\Roaming\Config.xml 2016-02-11 21:12 - 2016-02-11 21:12 - 0189511 _____ () C:\Users\Martin\AppData\Roaming\Dingstring.bin 2016-02-11 21:12 - 2016-02-11 21:12 - 0015552 _____ () C:\Users\Martin\AppData\Roaming\InstallationConfiguration.xml 2016-02-11 21:12 - 2016-02-11 21:12 - 0126976 _____ () C:\Users\Martin\AppData\Roaming\Installer.dat 2016-02-11 21:12 - 2016-02-11 21:12 - 0018432 _____ () C:\Users\Martin\AppData\Roaming\Main.dat 2016-02-11 21:12 - 2016-02-11 21:12 - 0005568 _____ () C:\Users\Martin\AppData\Roaming\md.xml 2016-02-11 21:12 - 2016-02-11 21:12 - 0566314 _____ () C:\Users\Martin\AppData\Roaming\Medfind.bin 2016-02-11 21:12 - 2016-02-11 21:12 - 0126464 _____ () C:\Users\Martin\AppData\Roaming\noah.dat 2016-02-11 21:12 - 2016-02-11 21:12 - 0666112 _____ () C:\Users\Martin\AppData\Roaming\StatTraxfan.exe 2016-02-11 21:12 - 2016-02-11 21:12 - 1827635 _____ () C:\Users\Martin\AppData\Roaming\StatTraxfan.tst 2016-02-11 21:12 - 2016-02-11 21:12 - 0848437 _____ () C:\Users\Martin\AppData\Roaming\SubLight.bin 2016-02-11 21:13 - 2016-02-11 21:13 - 0001150 _____ () C:\Users\Martin\AppData\Roaming\uninstall_temp.ico 2016-02-11 21:13 - 2016-02-11 21:13 - 0041472 _____ () C:\Users\Martin\AppData\Local\Domcan.dat 2016-02-11 21:13 - 2016-02-11 21:13 - 0028160 _____ () C:\Users\Martin\AppData\Local\Domcan.exe 2016-02-11 21:13 - 2016-02-11 21:13 - 0000187 _____ () C:\Users\Martin\AppData\Local\Domcan.exe.config 2014-06-20 14:08 - 2014-06-20 14:08 - 0000000 ____H () C:\ProgramData\DP45977C.lfl C:\Users\Martin\AppData\Local\Temp\14A2.tmp.exe C:\Users\Martin\AppData\Local\Temp\18B.tmp.exe C:\Users\Martin\AppData\Local\Temp\1B1E.tmp.exe C:\Users\Martin\AppData\Local\Temp\1C2B.tmp.exe C:\Users\Martin\AppData\Local\Temp\232C.tmp.exe C:\Users\Martin\AppData\Local\Temp\28F8.tmp.exe C:\Users\Martin\AppData\Local\Temp\2AB3.tmp.exe C:\Users\Martin\AppData\Local\Temp\2B5E.tmp.exe C:\Users\Martin\AppData\Local\Temp\2DE8.tmp.exe C:\Users\Martin\AppData\Local\Temp\3106.tmp.exe C:\Users\Martin\AppData\Local\Temp\3478.tmp.exe C:\Users\Martin\AppData\Local\Temp\3730.tmp.exe C:\Users\Martin\AppData\Local\Temp\390.tmp.exe C:\Users\Martin\AppData\Local\Temp\3961.tmp.exe C:\Users\Martin\AppData\Local\Temp\42CB.tmp.exe C:\Users\Martin\AppData\Local\Temp\4372.tmp.exe C:\Users\Martin\AppData\Local\Temp\4395.tmp.exe C:\Users\Martin\AppData\Local\Temp\46B.tmp.exe C:\Users\Martin\AppData\Local\Temp\53D1.tmp.exe C:\Users\Martin\AppData\Local\Temp\53E2.tmp.exe C:\Users\Martin\AppData\Local\Temp\5C1F.tmp.exe C:\Users\Martin\AppData\Local\Temp\605.tmp.exe C:\Users\Martin\AppData\Local\Temp\6C64.tmp.exe C:\Users\Martin\AppData\Local\Temp\6E31.tmp.exe C:\Users\Martin\AppData\Local\Temp\6F74.tmp.exe C:\Users\Martin\AppData\Local\Temp\7738.tmp.exe C:\Users\Martin\AppData\Local\Temp\7972.tmp.exe C:\Users\Martin\AppData\Local\Temp\7D9A.tmp.exe C:\Users\Martin\AppData\Local\Temp\871E.tmp.exe C:\Users\Martin\AppData\Local\Temp\8799.tmp.exe C:\Users\Martin\AppData\Local\Temp\88C6.tmp.exe C:\Users\Martin\AppData\Local\Temp\88F2.tmp.exe C:\Users\Martin\AppData\Local\Temp\8EB2.tmp.exe C:\Users\Martin\AppData\Local\Temp\9593.tmp.exe C:\Users\Martin\AppData\Local\Temp\98D0.tmp.exe C:\Users\Martin\AppData\Local\Temp\9A60.tmp.exe C:\Users\Martin\AppData\Local\Temp\9BC3.tmp.exe C:\Users\Martin\AppData\Local\Temp\9C0A.tmp.exe C:\Users\Martin\AppData\Local\Temp\9E2A.tmp.exe C:\Users\Martin\AppData\Local\Temp\9E67.tmp.exe C:\Users\Martin\AppData\Local\Temp\A057.tmp.exe C:\Users\Martin\AppData\Local\Temp\A1F7.tmp.exe C:\Users\Martin\AppData\Local\Temp\A6A6.tmp.exe C:\Users\Martin\AppData\Local\Temp\AA24.tmp.exe C:\Users\Martin\AppData\Local\Temp\AD1D.tmp.exe C:\Users\Martin\AppData\Local\Temp\AFE2.tmp.exe C:\Users\Martin\AppData\Local\Temp\amisetup1067__10235_il1.exe C:\Users\Martin\AppData\Local\Temp\amisetup1142__10235_il1.exe C:\Users\Martin\AppData\Local\Temp\amisetup1195__16582_il1.exe C:\Users\Martin\AppData\Local\Temp\amisetup1217__16582_il1.exe C:\Users\Martin\AppData\Local\Temp\amisetup3619__10235.exe C:\Users\Martin\AppData\Local\Temp\amisetup3642__10235.exe C:\Users\Martin\AppData\Local\Temp\amisetup3681__16582.exe C:\Users\Martin\AppData\Local\Temp\amisetup3697__16582.exe C:\Users\Martin\AppData\Local\Temp\amisetup8496__10235.exe C:\Users\Martin\AppData\Local\Temp\amisetup8518__10235.exe C:\Users\Martin\AppData\Local\Temp\amisetup8561__16582.exe C:\Users\Martin\AppData\Local\Temp\amisetup8581__16582.exe C:\Users\Martin\AppData\Local\Temp\B00A.tmp.exe C:\Users\Martin\AppData\Local\Temp\B11E.tmp.exe C:\Users\Martin\AppData\Local\Temp\B2C4.tmp.exe C:\Users\Martin\AppData\Local\Temp\B919.tmp.exe C:\Users\Martin\AppData\Local\Temp\BDEC.tmp.exe C:\Users\Martin\AppData\Local\Temp\C0F6.tmp.exe C:\Users\Martin\AppData\Local\Temp\C0FD.tmp.exe C:\Users\Martin\AppData\Local\Temp\C53D.tmp.exe C:\Users\Martin\AppData\Local\Temp\C7CE.tmp.exe C:\Users\Martin\AppData\Local\Temp\D582.tmp.exe C:\Users\Martin\AppData\Local\Temp\D867.tmp.exe C:\Users\Martin\AppData\Local\Temp\DB10.tmp.exe C:\Users\Martin\AppData\Local\Temp\E3C8.tmp.exe C:\Users\Martin\AppData\Local\Temp\E45A.tmp.exe C:\Users\Martin\AppData\Local\Temp\E51B.tmp.exe C:\Users\Martin\AppData\Local\Temp\F1E.tmp.exe C:\Users\Martin\AppData\Local\Temp\F699.tmp.exe C:\Users\Martin\AppData\Local\Temp\F840.tmp.exe C:\Users\Martin\AppData\Local\Temp\F9EC.tmp.exe C:\Users\Martin\AppData\Local\Temp\F9EF.tmp.exe C:\Users\Martin\AppData\Local\Temp\MBSetup_helper-loader.exe C:\Users\Martin\AppData\Local\Temp\prepreinstaller_win.exe C:\Users\Martin\AppData\Local\Temp\websafecooly.dll Task: {FCEC56B5-472D-4828-A02E-35584944B768} - \Microsoft\Windows\SystemRestore\FreeVPN -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\Temp:10D14739 [432] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\hola] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\YTDownloader] EmptyTemp: Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
BitTorrent, не устанавливал, у меня стоит uTorrent.
Вот лог.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:CreateRestorePoint: CloseProcesses: S4 BitTorrent; "C:\Program Files\BitTorrent\BitTorrent.exe" /s iid=4752250 did=APSnapdoAMRev sid=3 ref=31fa092d-8ee2-7946-bba4-ac95dbfb87bf-PolicyMac id=9cea554aa08b9dc59ff537cae7a142cb360d19683b0e5b4 827d3c32b8c97eab1 [X] Reboot:- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
Сообщите, что с проблемой?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Вот лог,
Что с проблемой - ну вроде как нечего больше не выскакивает, компьютер стал работать быстрее.
1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе.
2. Запустите DelFix.
Важно, для работы утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista/7/8/8.1/10 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
3.В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
4. Нажмите на кнопку Run.
5. После окончания работы программы автоматически откроется блокнот с отчетом delfix.txt (C:\delfix.txt)
6. Прикрепите этот отчет в вашей теме.
Выполните скрипт в AVZ при наличии доступа в интернет:
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.Код:var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Уведомление
Поиск критических уязвимостей
Уязвимости в Adobe Flash Player для Internet Explorer
http://fpdownload.macromedia.com/get...1_active_x.exe
Обнаружено уязвимостей: 1
Установил Adobe.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\programdata\afoir\afoir.exe - not-a-virus:AdWare.Win32.Agent.juqv
- c:\programdata\serfev\homejoyhold.dll - not-a-virus:AdWare.Win64.Agent.iqh
- c:\users\martin\appdata\local\domcan.exe - Trojan-Downloader.MSIL.Agent.ajxh
- c:\users\martin\appdata\roaming\freevpn\freevpn.ex e - not-a-virus:Downloader.Win32.AdLoad.ujpe
- c:\windows\csrss.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.ql
Уважаемый(ая) iniart, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
