Самопроизвольная установка программ

@nazriy · Регистрация: 15.06.2015

Author24 — интернет-сервис помощи студентам

У меня вдруг начались устанавливаться программы такие как Crossbrowse, gamedesktop і другие. При чем начали устанавливаться из неоткуда. Антивирус Microsoft Security не обнаружил никаких вредоносных программ, возможно, вы сможете мне помочь.
Я вложил логи со своего ПК.

@Sandor · 15.06.2015, 10:12

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя nazriy. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

mystartsearch uninstall

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\jnsy9aed.tmp');
 TerminateProcessByName('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\nsf432a.tmp');
 StopService('hyxuduge');
 StopService('hyxuduge');
 StopService('2AB5D3A4');
 QuarantineFileF('C:\Users\Назар\AppData\Roaming\winxarj', '*', true, '', 0 ,0);
 QuarantineFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\jnsy9aed.tmp', '');
 QuarantineFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\nsf432a.tmp', '');
 QuarantineFile('c:\users\назар\appdata\local\temp\2AB5D3A4.sys', '');
 QuarantineFile('C:\Users\Назар\AppData\Roaming\winxarj\winzip.exe', '');
 DeleteFile('C:\Windows\system32\Tasks\{3DCED2F5-3DEE-438A-BDF4-44931C4D3C71}', '64');
 DeleteFile('C:\Windows\system32\Tasks\{B6B6A270-F1CB-409E-A7B4-2DE9266514FC}', '64');
 DeleteFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\jnsy9aed.tmp', '32');
 DeleteFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\nsf432a.tmp', '32');
 DeleteFile('c:\users\назар\appdata\local\temp\2AB5D3A4.sys', '32');
 DeleteFile('C:\Users\Назар\AppData\Roaming\winxarj\winzip.exe', '32');
 DeleteFileMask('C:\Users\Назар\AppData\Roaming\winxarj', '*', true);
 DeleteDirectory('C:\Users\Назар\AppData\Roaming\winxarj');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\winxrar','command');
 DeleteService('hyxuduge');
 DeleteService('2AB5D3A4');
ExecuteSysClean;
 BC_DeleteSvc('hyxuduge');
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@nazriy · 17.06.2015, 14:08 **[ТС]**

Спасибо за помощь, вот файл ClearLNK, как указано в Вашей инструкции

@Sandor · 17.06.2015, 14:12

п 1. сделали?

Еще жду п. 5

@nazriy · 17.06.2015, 14:37 **[ТС]**

Да, вот отчет по пункту 5. Я разбил отчет на 2 файла, потому что отчет превышал допустимый размер загруженного файла
Первый тоже выполнен.
Но такая теперь проблемка: Хром не запускается после перезагрузки компьютера от adwcleaner_4.206

@Sandor · 17.06.2015, 14:43

Сообщение от nazriy

отчет превышал допустимый размер

Можно было упаковать.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@nazriy · 17.06.2015, 16:28 **[ТС]**

Результаты Farbar Recovery Scan Tool

@Sandor · 17.06.2015, 16:40

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_nl_259] => [X]
HKLM-x32\...\Run: [gmsd_nl_005010002] => [X]
HKLM-x32\...\Run: [gmsd_nl_005010004] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} ->  No File
Toolbar: HKU\S-1-5-21-204062725-2613960770-31759193-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR HKU\S-1-5-21-204062725-2613960770-31759193-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pnjnnnhampgflieglcelomcofocioegp] - C:\Users\Назар\AppData\Local\CRE\pnjnnnhampgflieglcelomcofocioegp.crx [2013-03-03]
CHR HKLM-x32\...\Chrome\Extension: [cifhijkiiikloafabeloklapclpjgpom] - C:\Users\Назар\AppData\Roaming\VkVideo\chrome.crx [2012-09-30]
CHR HKLM-x32\...\Chrome\Extension: [hjakmojkcnhgipgkkbiempkfdndcnlah] - C:\ProgramData\TheBflix\hjakmojkcnhgipgkkbiempkfdndcnlah.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [pnjnnnhampgflieglcelomcofocioegp] - C:\Users\Назар\AppData\Local\CRE\pnjnnnhampgflieglcelomcofocioegp.crx [2013-03-03]
2015-06-17 12:01 - 2015-06-17 12:01 - 00001006 _____ C:\Windows\Tasks\3OS6upkZwSVXsVxJf.job
2015-06-17 11:55 - 2015-06-17 13:22 - 00000330 _____ C:\Windows\Tasks\QNBKJTVHX1.job
2015-06-04 12:43 - 2015-06-04 12:43 - 00613255 _____ (CMI Limited) C:\Users\Назар\AppData\Local\nskF140.tmp
Task: {0F869C50-F5FC-4C4D-8FDF-5DC214FFC452} - System32\Tasks\QNBKJTVHX1 => C:\ProgramData\FlashBeat\FlashBeat.exe <==== ATTENTION
Task: {9F757099-69D9-4C2C-B82A-1465D150D2EB} - \{B6B6A270-F1CB-409E-A7B4-2DE9266514FC} No Task File <==== ATTENTION
Task: {AF69AA0D-5719-4623-9DCB-3CB1FCA75FD2} - \{3DCED2F5-3DEE-438A-BDF4-44931C4D3C71} No Task File <==== ATTENTION
Task: C:\Windows\Tasks\3OS6upkZwSVXsVxJf.job => C:\Users\эяэяэяэяэя\AppData\Roaming\3OS6upkZwSVXsVxJf.exe <==== ATTENTION
C:\Users\эяэяэяэяэя\AppData\Roaming\3OS6upkZwSVXsVxJf.exe
Task: C:\Windows\Tasks\QNBKJTVHX1.job => C:\ProgramData\FlashBeat\FlashBeat.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\Temp:BF14D50A
AlternateDataStreams: C:\Users\Все пользователи\Temp:BF14D50A
AlternateDataStreams: C:\Users\Назар\Local Settings:wa
AlternateDataStreams: C:\Users\Назар\AppData\Local:wa
AlternateDataStreams: C:\Users\Назар\AppData\Local\Application Data:wa
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@nazriy · 17.06.2015, 16:56 **[ТС]**

лог-файл
Проблема с Хромом решена

@nazriy · 17.06.2015, 16:58 **[ТС]**

Хром работает, спасибо

@Sandor · 17.06.2015, 16:59

Хорошо, в завершение:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@nazriy · 17.06.2015, 17:03 **[ТС]**

Файл после Security Check

@Sandor · 18.06.2015, 08:05

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17728 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через Интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Запрос на повышение прав для администраторов отключен
--------------------------- [ OtherUtilities ] ----------------------------
Skype™ 7.4 v.7.4.102 Внимание! Скачать обновления
Необязательное обновление.
Microsoft Silverlight 5.1 v.5.1.4001 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u45-windows-x64.exe)^
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u45-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.9.0.1210 Внимание! Скачать обновления
Adobe Shockwave Player v.11.5.1.601 Внимание! Скачать обновления

Все указанное следует включить и обновить.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@nazriy · 02.07.2015, 16:50 **[ТС]**

Здравствуйте!
У меня возникла еще одна проблемка после проделаных шагов.
На моем ПК не могут быть установлены обновления. Точнее "Не удается выполнить поиск обновлений"
Может ли это быть как то связано в предыдущей моей проблемой?

@Sandor · 02.07.2015, 16:58

Покажите скриншот.

@nazriy · 02.07.2015, 17:02 **[ТС]**

Вот, пожалуйста

@Sandor · 03.07.2015, 08:09

Ошибка Центра обновления Windows 80070002

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	15.06.2015, 10:12	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя nazriy. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления - Удаление программ - удалите нежелательное ПО: mystartsearch uninstall Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем *virusinfo_files_<имя_ПК>.zip* Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\jnsy9aed.tmp'); TerminateProcessByName('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\nsf432a.tmp'); StopService('hyxuduge'); StopService('hyxuduge'); StopService('2AB5D3A4'); QuarantineFileF('C:\Users\Назар\AppData\Roaming\winxarj', '', true, '', 0 ,0); QuarantineFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\jnsy9aed.tmp', ''); QuarantineFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\nsf432a.tmp', ''); QuarantineFile('c:\users\назар\appdata\local\temp\2AB5D3A4.sys', ''); QuarantineFile('C:\Users\Назар\AppData\Roaming\winxarj\winzip.exe', ''); DeleteFile('C:\Windows\system32\Tasks\{3DCED2F5-3DEE-438A-BDF4-44931C4D3C71}', '64'); DeleteFile('C:\Windows\system32\Tasks\{B6B6A270-F1CB-409E-A7B4-2DE9266514FC}', '64'); DeleteFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\jnsy9aed.tmp', '32'); DeleteFile('c:\users\Назар\appdata\roaming\30464e43-1425741956-5638-3052-c80aa990c0d5\nsf432a.tmp', '32'); DeleteFile('c:\users\назар\appdata\local\temp\2AB5D3A4.sys', '32'); DeleteFile('C:\Users\Назар\AppData\Roaming\winxarj\winzip.exe', '32'); DeleteFileMask('C:\Users\Назар\AppData\Roaming\winxarj', '', true); DeleteDirectory('C:\Users\Назар\AppData\Roaming\winxarj'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\winxrar','command'); DeleteService('hyxuduge'); DeleteService('2AB5D3A4'); ExecuteSysClean; BC_DeleteSvc('hyxuduge'); ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте лог сканирования AdwCleaner. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	17.06.2015, 14:12	4
	п 1. сделали? Еще жду п. 5 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	17.06.2015, 14:43	6
	Сообщение от nazriy отчет превышал допустимый размер Можно было упаковать. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@nazriy 0 / 0 / 0 Регистрация: 15.06.2015 Сообщений: 9
	17.06.2015, 16:58 [ТС]	10
	Хром работает, спасибо 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	17.06.2015, 16:59	11
	Хорошо, в завершение: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	18.06.2015, 08:05	13
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17728 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через Интернет.^ Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Запрос на повышение прав для администраторов отключен --------------------------- [ OtherUtilities ] ---------------------------- Skype™ 7.4 v.7.4.102 Внимание! Скачать обновления *Необязательное обновление.* Microsoft Silverlight 5.1 v.5.1.4001 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u45-windows-x64.exe)^ Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u45-windows-i586.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.3.9.0.1210 Внимание! Скачать обновления Adobe Shockwave Player v.11.5.1.601 Внимание! Скачать обновления Все указанное следует включить и обновить. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1

@nazriy 0 / 0 / 0 Регистрация: 15.06.2015 Сообщений: 9
	02.07.2015, 16:50 [ТС]	14
	Здравствуйте! У меня возникла еще одна проблемка после проделаных шагов. На моем ПК не могут быть установлены обновления. Точнее "Не удается выполнить поиск обновлений" Может ли это быть как то связано в предыдущей моей проблемой? 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	02.07.2015, 16:58	15
	Покажите скриншот. 1

@nazriy 0 / 0 / 0 Регистрация: 15.06.2015 Сообщений: 9
	02.07.2015, 17:02 [ТС]	16
	Вот, пожалуйста Миниатюры 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,053
	03.07.2015, 08:09	17
	Ошибка Центра обновления Windows 80070002 0