Вирус устанавливает программы и включает рекламу в браузере

@Tranquility · Регистрация: 10.11.2015

Author24 — интернет-сервис помощи студентам

Добрый день.
Столкнулся с проблемой, полностью повторяющей описанную в этой теме: Вирус, автоматически, устанавливающий программы

Здравствуйте!
Возникла такая проблема: имела неосторожность запустить подозрительный файл, который, по всей видимости занес мне вирус в систему. Периодически устанавливает на компьютер странные ненужные программы или плагины на Chrome. Много из них удалила, но он не хочет успокаиваться. В те моменты, когда он начинает проказничать, Аваст мой ругается и находит такие вирусы, как Win32:Malware-gen. Сканировала Авастом и CureIt!, но они ничего не нашли. Логи AutoLogger прилагаются.
Заранее благодарна за помощь!

@Sandor · 10.11.2015, 12:03

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Tranquility. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

GamesDesktop 033.005010141
HP Defender
SmartWeb
SpaceSoundPro
SpaceSoundPro Service
Time tasks
ZaxarGameBrowser

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\programdata\timetasks\timetasks.exe');
 TerminateProcessByName('c:\program files (x86)\rec_en_77\rec_en_77.exe');
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010141\gmsd_ru_005010141.exe');
 TerminateProcessByName('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\hnsf1148.tmp');
 TerminateProcessByName('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\jnsqfb2d.tmp');
 TerminateProcessByName('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\knsld3ba.tmpfs');
 TerminateProcessByName('c:\users\abram_000\appdata\local\1f0022a0-1447154172-1b00-1f0f-5404a64dd48b\qnstacd.tmp');
 TerminateProcessByName('c:\users\abram_000\appdata\local\gmsd_ru_005010141\upgmsd_ru_005010141.exe');
 TerminateProcessByName('c:\users\abram_000\appdata\local\temp\c3e8ab24-bd8c7ae9-cb223dc2-4610542f\win-space-setup.exe');
 StopService('bezezexu');
 StopService('gilefywi');
 StopService('hidekoqe');
 StopService('wozusixo');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('c:\programdata\timetasks\timetasks.exe','');
 QuarantineFile('c:\program files (x86)\rec_en_77\rec_en_77.exe','');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010141\gmsd_ru_005010141.exe', '');
 QuarantineFile('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\hnsf1148.tmp', '');
 QuarantineFile('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\jnsqfb2d.tmp', '');
 QuarantineFile('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\knsld3ba.tmpfs', '');
 QuarantineFile('c:\users\abram_000\appdata\local\1f0022a0-1447154172-1b00-1f0f-5404a64dd48b\qnstacd.tmp', '');
 QuarantineFile('c:\users\abram_000\appdata\local\gmsd_ru_005010141\upgmsd_ru_005010141.exe', '');
 QuarantineFile('c:\users\abram_000\appdata\local\temp\c3e8ab24-bd8c7ae9-cb223dc2-4610542f\win-space-setup.exe', '');
 QuarantineFile('c:\users\abram_~1\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpniezvh.dll', '');
 QuarantineFile('C:\ProgramData\XWNxjZ\GdPQTQOJK0.bat', '');
 QuarantineFile('C:\ProgramData\qzRLjjiRWmLl\JV5.bat', '');
 QuarantineFile('C:\Users\abram_000\AppData\Roaming\8ZLmTTC.exe', '');
 QuarantineFile('C:\Users\abram_000\AppData\Roaming\cHxDixUolmfrv3FV.exe', '');
 DeleteFile('c:\program files (x86)\rec_en_77\rec_en_77.exe','32');
 DeleteFile('c:\programdata\timetasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('c:\program files (x86)\gmsd_ru_005010141\gmsd_ru_005010141.exe', '32');
 DeleteFile('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\hnsf1148.tmp', '32');
 DeleteFile('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\jnsqfb2d.tmp', '32');
 DeleteFile('c:\program files (x86)\1f0022a0-1447131083-1b00-1f0f-5404a64dd48b\knsld3ba.tmpfs', '32');
 DeleteFile('c:\users\abram_000\appdata\local\1f0022a0-1447154172-1b00-1f0f-5404a64dd48b\qnstacd.tmp', '32');
 DeleteFile('c:\users\abram_000\appdata\local\gmsd_ru_005010141\upgmsd_ru_005010141.exe', '32');
 DeleteFile('c:\users\abram_000\appdata\local\temp\c3e8ab24-bd8c7ae9-cb223dc2-4610542f\win-space-setup.exe', '32');
 DeleteFile('c:\users\abram_~1\appdata\local\temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpniezvh.dll', '32');
 DeleteFile('C:\ProgramData\XWNxjZ\GdPQTQOJK0.bat', '32');
 DeleteFile('C:\ProgramData\qzRLjjiRWmLl\JV5.bat', '32');
 DeleteFile('C:\Users\abram_000\AppData\Roaming\8ZLmTTC.exe', '32');
 DeleteFile('C:\Users\abram_000\AppData\Roaming\cHxDixUolmfrv3FV.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "8ZLmTTC.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "cHxDixUolmfrv3FV.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "8ZLmTTC" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "cHxDixUolmfrv3FV" /F', 0, 15000, true);
 DeleteService('bezezexu');
 DeleteService('gilefywi');
 DeleteService('hidekoqe');
 DeleteService('wozusixo');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_en_77');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010141');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010141.exe');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Tranquility · 10.11.2015, 12:56 **[ТС]**

Как отправить файл из пункта 2? Ссылка не работает, форму вверху не нашёл.

Пункты 1, 3 и 4 сделал. Логи прикреплены.

@Sandor · 10.11.2015, 13:07

Сообщение от Tranquility

форму вверху не нашёл

Над Вашим первым сообщением.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Tranquility · 10.11.2015, 14:05 **[ТС]**

Файл карантина отправил.
Отчёт AdwCleaner прикрепил.

Пункт, где говорится про mail.ru отдельный или относится к предыдущему?

FRST отчёты прикрепил.

@Sandor · 10.11.2015, 14:24

Сообщение от Tranquility

относится к предыдущему?

Да.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://www.istartsurf.com/?type=hp&ts=1447133056&z=30f4061825845d6c24771c7g8z2z6m1g7cdo6m4qbt&from=face&uid=M4-CT064M4SSD2_000000001204090326BA","hxxp://mail.ru/cnt/10445?gp=789106"
2015-11-10 11:16 - 2015-11-10 11:16 - 00284320 _____ C:\WINDOWS\SysWOW64\ZaxarSetup.4.001.30.exe
2015-11-10 10:07 - 2015-11-10 12:36 - 00000000 ____D C:\Users\Все пользователи\XWNxjZ
2015-11-10 10:07 - 2015-11-10 12:36 - 00000000 ____D C:\Users\Все пользователи\qzRLjjiRWmLl
2015-11-10 10:07 - 2015-11-10 12:36 - 00000000 ____D C:\ProgramData\XWNxjZ
2015-11-10 10:07 - 2015-11-10 12:36 - 00000000 ____D C:\ProgramData\qzRLjjiRWmLl
2015-11-10 10:07 - 2015-11-10 10:07 - 00000000 ____D C:\Users\Все пользователи\ZoasekmRwqTxPDJ
2015-11-10 10:07 - 2015-11-10 10:07 - 00000000 ____D C:\ProgramData\ZoasekmRwqTxPDJ
2015-11-10 08:25 - 2015-11-10 08:25 - 00000000 ____D C:\Users\Все пользователи\KupkZWaMrtgIHqB
2015-11-10 08:25 - 2015-11-10 08:25 - 00000000 ____D C:\ProgramData\KupkZWaMrtgIHqB
2015-11-10 08:24 - 2015-11-10 08:24 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-10 08:24 - 2015-11-10 08:24 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\abram_000\AppData\Roaming\8ZLmTTC
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\abram_000\AppData\Roaming\cHxDixUolmfrv3FV
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

В перечне установленных программ появится

globalupdate Helper

удалите.

Сообщите что с проблемой.

@Tranquility · 10.11.2015, 16:15 **[ТС]**

Следы проблемы отсутствуют.

Большое спасибо)

@Sandor · 10.11.2015, 16:22

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Tranquility · 10.11.2015, 17:27 **[ТС]**

Выполнил

@Sandor · 10.11.2015, 17:32

--------------------------------- [ IM ] ----------------------------------
Skype™ 7.12 v.7.12.101 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 65 (64-bit) v.8.0.650.17 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u66-windows-x64.exe)^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 39.0 (x86 ru) v.39.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Tranquility · 13.11.2015, 20:11 **[ТС]**

Не сразу заметил, появилась ещё одна проблема. В силу отсутствия опыта не знаю, из-за того вируса или из-за действий которые были произведениы потом.

Не могу открыть папку Application Data

@Sandor · 13.11.2015, 20:32

Для обычного пользователя эта папка скрыта. Кроме того, что нет туда доступа еще есть какие-то проблемы?

@Tranquility · 13.11.2015, 21:43 **[ТС]**

Я свободно пользовался ей до этого времени.

Других проблем не заметил.

@Sandor · 13.11.2015, 21:57

Проверил сейчас, у меня такая же табличка

С вирусами не связано, связано с правами.

@Tranquility · 13.11.2015, 23:13 **[ТС]**

Это можно это обойти? Я сам не смог разобраться.

@Sandor · 13.11.2015, 23:21

Вы уверены, что это Вам нужно?
Почитайте про символические ссылки: раз и два.

@Tranquility · 14.11.2015, 17:03 **[ТС]**

Мне это нужно. Оттуда у меня читала и записывала данные однапрограмма, так я эту проблему и обнаружил.

Ещё интересно выяснить почему она вобще возникла. Я ни чего не менял в правах.

Добавлено через 7 часов 34 минуты
Как мне решить эту проблему? Или лучше в дргуютему написать?

Добавлено через 1 час 8 минут
Как мне решить эту проблему? Или лучше в дргую тему написать?

@Sandor · 14.11.2015, 22:35

Сообщение от Tranquility

лучше в дргую тему написать?

Да, спросите в системном разделе. Можете эту тему упомянуть.

@Tranquility · 15.11.2015, 19:38 **[ТС]**

А чистилась ли аппдата при действиях выше в этой теме?

@Sandor · 16.11.2015, 10:44

Нет. Удалялись кое-какие файлы, но не из общей, а из профильной.

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	10.11.2015, 13:07	4
	Сообщение от Tranquility форму вверху не нашёл Над Вашим первым сообщением. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	10.11.2015, 16:22	8
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	10.11.2015, 17:32	10
	--------------------------------- [ IM ] ---------------------------------- Skype™ 7.12 v.7.12.101 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41202 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 65 (64-bit) v.8.0.650.17 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u66-windows-x64.exe)^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 39.0 (x86 ru) v.39.0 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@Tranquility 0 / 0 / 0 Регистрация: 10.11.2015 Сообщений: 10
	13.11.2015, 20:11 [ТС]	11
	Не сразу заметил, появилась ещё одна проблема. В силу отсутствия опыта не знаю, из-за того вируса или из-за действий которые были произведениы потом. Не могу открыть папку Application Data 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	13.11.2015, 20:32	12
	Для обычного пользователя эта папка скрыта. Кроме того, что нет туда доступа еще есть какие-то проблемы? 0

@Tranquility 0 / 0 / 0 Регистрация: 10.11.2015 Сообщений: 10
	13.11.2015, 21:43 [ТС]	13
	Я свободно пользовался ей до этого времени. Других проблем не заметил. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	13.11.2015, 21:57	14
	Проверил сейчас, у меня такая же табличка С вирусами не связано, связано с правами. 0

@Tranquility 0 / 0 / 0 Регистрация: 10.11.2015 Сообщений: 10
	13.11.2015, 23:13 [ТС]	15
	Это можно это обойти? Я сам не смог разобраться. 0

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	13.11.2015, 23:21	16
	Вы уверены, что это Вам нужно? Почитайте про символические ссылки: раз и два. 0

@Tranquility 0 / 0 / 0 Регистрация: 10.11.2015 Сообщений: 10
	14.11.2015, 17:03 [ТС]	17
	Мне это нужно. Оттуда у меня читала и записывала данные однапрограмма, так я эту проблему и обнаружил. Ещё интересно выяснить почему она вобще возникла. Я ни чего не менял в правах. Добавлено через 7 часов 34 минуты Как мне решить эту проблему? Или лучше в дргуютему написать? Добавлено через 1 час 8 минут Как мне решить эту проблему? Или лучше в дргую тему написать? 0

	16.11.2015, 10:44

@Sandor 21561 / 15511 / 2989 Регистрация: 08.10.2012 Сообщений: 63,060
	14.11.2015, 22:35	18
	Сообщение от Tranquility лучше в дргую тему написать? Да, спросите в системном разделе. Можете эту тему упомянуть. 0

@Tranquility 0 / 0 / 0 Регистрация: 10.11.2015 Сообщений: 10
	15.11.2015, 19:38 [ТС]	19
	А чистилась ли аппдата при действиях выше в этой теме? 0