Компьютер сам устанавливает программы...Помогите. Программы eMulec, winsnare, какие то китайские программы. [not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen, not-a-virus:RiskTool.Win32.SpeedUpMyPC.yyh ]

[Inspector]

Никогда такого не делал, но решил крякнуть программу. Скачал кряк. Отключил антивирусник и начал устанавливать.
И тут я понял, что происходить что не понятное стало. начал вылазить iExplorer. Я никогда им не пользовался.
В общем установилось много программ. И тут я включил антивирусник. Трояны и всякие остальные.
В общем кое как удалил. Потом начал удалять программы.
В итоге вроде все удалил, но не понятным образом устанавливаются дальше все эти программы

[Info_bot]

Уважаемый(ая) Inspector, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Сомнение]

Здравствуйте!

Вам необходимо:

1. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPhvbdxaOKCIAw4PgVEoqy3M0BU3ekxK3bD67mMZD-7ZOKTmnHTeYXjZ6VtrrY-S2rF5_xJbS6OZW_e36rjQsewhmJ03OEcAgEOGjFQVb0X76WG4e8j6_2D3lwCWZ3_2oyeWfZJxCECLDsIu8rbMG2sc__hD0
R0 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPhvbdxaOKCIAw4PgVEoqy3M0BU3ekxK3bD67mMZD-7ZOKTmnHTeYXjZ6VtrrY-S2rF5_xJbS6OZW_e36rjQsewhmJ03OEcAgEOGjFQVb0X76WG4e8j6_2D3lwCWZ3_2oyeWfZJxCECLDsIu8rbMG2sc__hD0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPhvbdxaOKCIAw4PgVEoqy3M0BU3ekxK3bD67mMZD-7ZOKTmnHTeYXjZ6VtrrY-S2rF5_xJbS6OZW_e36rjQsewhmJ03OEcAgEOGjFQVb0X76WG4e8j6_2D3lwCWZ3_2oyeWfZJxCECLDsIu8rbMG2sc__hD0WdLeypnq2wtvz&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBFnYN5R-SRTQR4zPSPhvbdxaOKCIAw4PgVEoqy3M0BU3ekxK3bD67mMZD-7ZOKTmnHTeYXjZ6VtrrY-S2rF5_xJbS6OZW_e36rjQsewhmJ03OEcAgEOGjFQVb0X76WG4e8j6_2D3lwCWZ3_2oyeWfZJxCECLDsIu8rbMG2sc__hD0WdLeypnq2wtvz&q={searchTerms}
F2 - REG:system.ini: HKLM\..\UserInit=wscript C:\WINDOWS\run.vbs,

2. Выполнить следующий скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\programdata\service.exe');
 TerminateProcessByName('c:\programdata\networkpacketmanitor\nettrans.exe');
 TerminateProcessByName('c:\program files (x86)\bikaqrssreader\bikaq.exe');
 StopService('StanduckSU');
 StopService('GoogleChromeUpService');
 StopService('iThemes5');
 StopService('Nettrans');
 StopService('ed2kidle');
 QuarantineFile('C:\Users\Егор\appdata\roaming\event monitor\isxdl.dll', '');
 QuarantineFile('C:\Users\Егор\appdata\roaming\event monitor\em.exe', '');
 QuarantineFile('C:\Program Files (x86)\Stedthrerward Log\local64spl.dll', '');
 QuarantineFile('C:\Users\Егор\AppData\Roaming\WinSnare\WinSnare.dll', '');
 QuarantineFile('C:\Program Files (x86)\bilibili\bilibili.dll', '');
 QuarantineFile('C:\WINDOWS\TEMP\nsi6413.tmp\BaofengUpdate_U.exe', '');
 QuarantineFile('C:\Program Files (x86)\amuleCexx\ed2k.exe', '');
 QuarantineFile('C:\Users\A946~1\AppData\Local\Temp\bk60F.tmp\p1487616987am.sys', '');
 QuarantineFile('C:\Users\A946~1\AppData\Local\Temp\bk6829.tmp\p1487616953am.sys', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', '');
 QuarantineFile('c:\users\егор\appdata\roaming\winsapsvc\winsap.dll', '');
 QuarantineFile('c:\programdata\service.exe', '');
 QuarantineFileF('C:\Program Files (x86)\Stedthrerward Log', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\егор\appdata\roaming\winsapsvc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\networkpacketmanitor', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\programdata\networkpacketmanitor\nettrans.exe', '');
 QuarantineFile('c:\program files (x86)\bikaqrssreader\bikaq.exe', '');
 DeleteFile('c:\program files (x86)\bikaqrssreader\bikaq.exe', '32');
 DeleteFile('C:\Program Files (x86)\Common Files\Services\iThemes.dll', '32');
 DeleteFile('C:\Users\A946~1\AppData\Local\Temp\bk6829.tmp\p1487616953am.sys', '32');
 DeleteFile('C:\Users\A946~1\AppData\Local\Temp\bk60F.tmp\p1487616987am.sys', '32');
 DeleteFile('C:\Program Files (x86)\amuleCexx\ed2k.exe', '32');
 DeleteFile('C:\ProgramData\NetworkPacketManitor\Nettrans.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\WINDOWS\TEMP\nsi6413.tmp\BaofengUpdate_U.exe', '32');
 DeleteFile('C:\Program Files (x86)\bilibili\bilibili.dll', '32');
 DeleteFile('C:\Users\Егор\AppData\Roaming\WinSnare\WinSnare.dll', '32');
 DeleteFile('C:\Program Files (x86)\Stedthrerward Log\local64spl.dll', '32');
 DeleteFile('C:\Users\Егор\appdata\roaming\event monitor\em.exe', '32');
 DeleteFile('C:\Users\Егор\appdata\roaming\event monitor\isxdl.dll', '32');
 DeleteFile('C:\Users\Егор\appdata\roaming\winsapsvc\winsap.dll', '32');
 DeleteService('StanduckSU');
 DeleteService('GoogleChromeUpService');
 DeleteService('iThemes5');
 DeleteService('Nettrans');
 DeleteService('ed2kidle');
 DeleteFileMask('C:\Users\Егор\appdata\roaming\winsapsvc', '*', true);
 DeleteFileMask('C:\Users\Егор\appdata\roaming\event monitor', '*', true);
 DeleteFileMask('C:\Users\Егор\AppData\Roaming\WinSnare', '*', true);
 DeleteFileMask('C:\ProgramData\NetworkPacketManitor', '*', true);
 DeleteDirectory('C:\Users\Егор\appdata\roaming\winsapsvc');
 DeleteDirectory('C:\Users\Егор\appdata\roaming\event monitor');
 DeleteDirectory('C:\Users\Егор\AppData\Roaming\WinSnare');
 DeleteDirectory('C:\ProgramData\NetworkPacketManitor');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\bilibili\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSAPSvc\Parameters', 'ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\WinSnare\Parameters', 'ServiceDll');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

3. Сделайте новый лог AutoLogger'a.

[Inspector]

Я уже все отправил

[Сомнение]

Куда отправили ? Где новый лог ?

[Inspector]

Файл сохранён как
170222_210111_quarantine_58add1e7c3870.zip
Размер файла
3490756
MD5
067f6b9037f88d327ed918c414336270

[Сомнение]

Здравствуйте!

Вам необходимо:

Выполнить следующий скрипт в AVZ:

Код:

begin
 StopService('ucdrv');
 StopService('FirefoxDL');
 QuarantineFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Stedthrerward Log\local64spl.dll', '');
 QuarantineFile('C:\WINDOWS\TEMP\nsi6413.tmp\QQBrowser.exe', '');
 DeleteFile('C:\WINDOWS\TEMP\nsi6413.tmp\QQBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Stedthrerward Log\local64spl.dll', '32');
 DeleteFile('C:\WINDOWS\System32\drivers:ucdrv-x64.sys', '32');
 DeleteService('ucdrv');
 DeleteService('FirefoxDL');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер будет перезагружен.

После перезагрузки выполните:

Код:

begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

[Inspector]

170225_093836_quarantine_58b1266cde9bc.zip
Размер файла
67489
MD5
7ff06c95e9570f0e55f1924e8d1530d1

[Сомнение]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.



Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 13
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files (x86)\bilibili\bilibili.dll - HEUR:Trojan.Win32.Generic ( BitDefender: Gen:Trojan.Heur.LP.hy4@aeQEpldi )
  2. c:\program files (x86)\common files\services\ithemes.dll - UDS:DangerousObject.Multi.Generic
  3. c:\program files (x86)\stedthrerward log\local64spl.dll - Trojan.Win64.Eroyee.do
  4. c:\programdata\networkpacketmanitor\nettrans.exe - not-a-virus:WebToolbar.Win32.Linkury.aqy
  5. c:\programdata\service.exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen ( BitDefender: Gen:Variant.Graftor.269178 )
  6. c:\users\a946~1\appdata\local\temp\bk60f.tmp\p1487 616987am.sys - not-a-virus:HEUR:RiskTool.Win32.PCH.gen
  7. c:\users\егор\appdata\roaming\event monitor\em.exe - not-a-virus:RiskTool.Win32.SpeedUpMyPC.yyh
  8. c:\users\егор\appdata\roaming\event monitor\isxdl.dll - not-a-virus:RiskTool.Win32.SpeedUpMyPC.yyh
  9. c:\users\егор\appdata\roaming\winsapsvc\winsap.dll - not-a-virus:AdWare.Win32.ELEX.atz