Автоматически устанавливаются программы, предложения на обновление программ

@Artur Mamaev · Регистрация: 19.01.2016

Author24 — интернет-сервис помощи студентам

Скачал по магнет ссылки Honestech VHS to DVD Deluxe http://rutracker.org/forum/viewtopic.php?t=3223667
Распаковал архив. Нажал установку. Выбрал выборочную установку. Снял все галочки с программ, которые дополнительно предлагались установить. Установил. И началось: автоматическая установка "амиго", "вконтакте", "однклсснки"; предложения обновления программ; при запуски браузера - стартовая страница "вулкан".

@thyrex · 20.01.2016, 18:30

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010212\gmsd_ru_005010212.exe');
 TerminateProcessByName('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\hnsuf464.tmp');
 TerminateProcessByName('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\jnsudab0.tmp');
 TerminateProcessByName('C:\Program Files (x86)\4C4C4544-1453200930-3010-804A-C8C04F4D3132\jnsuDAB0.tmp');
 TerminateProcessByName('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\knsx179d.tmp');
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpcprotectservice.exe');
 TerminateProcessByName('c:\program files (x86)\mpc cleaner\mpctray.exe');
 TerminateProcessByName('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\users\Артур\appdata\local\4c4c4544-1453270248-3010-804a-c8c04f4d3132\qnshb123.tmp');
 TerminateProcessByName('C:\Users\Артур\AppData\Local\4C4C4544-1453270248-3010-804A-C8C04F4D3132\qnshB123.tmp');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 TerminateProcessByName('c:\users\Артур\appdata\local\gmsd_ru_005010212\upgmsd_ru_005010212.exe');
 SetServiceStart('kerejewizbt', 4);
 SetServiceStart('MPCProtectService', 4);
 SetServiceStart('SSFK', 4);
 SetServiceStart('WindowsMangerProtect', 4);
 SetServiceStart('wucotusy', 4);
 SetServiceStart('zutuzuni', 4);
 QuarantineFile('C:\Windows\syswow64\searchprotectservice.exe','');
 QuarantineFile('C:\Windows\system32\searchprotectservice.exe','');
 QuarantineFile('C:\ProgramData\QGSUwGgQ\sKbWTsqQjG5.bat','');
 QuarantineFile('C:\ProgramData\OCTFfOgVcHhq\TKYYaHl0.bat','');
 QuarantineFile('C:\Users\Артур\AppData\Local\blacount\config.json','');
 QuarantineFile('C:\Users\Артур\AppData\Local\blacount\blcn_sb.exe','');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010212\gmsd_ru_005010212.exe','');
 QuarantineFile('C:\Users\Артур\AppData\Local\gmsd_ru_005010212\upgmsd_ru_005010212.exe','');
 QuarantineFile('C:\Windows\system32\DRIVERS\MPCKpt.sys','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\Cleaner.dll','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\BrowserPlugIn.dll','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\AdbWinUsbApi.dll','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\AdbWinApi.DLL','');
 QuarantineFile('c:\users\Артур\appdata\local\gmsd_ru_005010212\upgmsd_ru_005010212.exe','');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe','');
 QuarantineFile('C:\Users\Артур\AppData\Local\4C4C4544-1453270248-3010-804A-C8C04F4D3132\qnshB123.tmp','');
 QuarantineFile('c:\users\Артур\appdata\local\4c4c4544-1453270248-3010-804a-c8c04f4d3132\qnshb123.tmp','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe','');
 QuarantineFile('c:\program files (x86)\mpc cleaner\mpctray.exe','');
 QuarantineFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','');
 QuarantineFile('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\knsx179d.tmp','');
 QuarantineFile('C:\Program Files (x86)\4C4C4544-1453200930-3010-804A-C8C04F4D3132\jnsuDAB0.tmp','');
 QuarantineFile('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\jnsudab0.tmp','');
 QuarantineFile('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\hnsuf464.tmp','');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010212\gmsd_ru_005010212.exe','');
 DeleteFile('c:\program files (x86)\gmsd_ru_005010212\gmsd_ru_005010212.exe','32');
 DeleteFile('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\hnsuf464.tmp','32');
 DeleteFile('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\jnsudab0.tmp','32');
 DeleteFile('C:\Program Files (x86)\4C4C4544-1453200930-3010-804A-C8C04F4D3132\jnsuDAB0.tmp','32');
 DeleteFile('c:\program files (x86)\4c4c4544-1453200930-3010-804a-c8c04f4d3132\knsx179d.tmp','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe','32');
 DeleteFile('c:\program files (x86)\mpc cleaner\mpctray.exe','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\MPCTray64.exe','32');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','32');
 DeleteFile('c:\users\Артур\appdata\local\4c4c4544-1453270248-3010-804a-c8c04f4d3132\qnshb123.tmp','32');
 DeleteFile('C:\Users\Артур\AppData\Local\4C4C4544-1453270248-3010-804A-C8C04F4D3132\qnshB123.tmp','32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe','32');
 DeleteFile('c:\users\Артур\appdata\local\gmsd_ru_005010212\upgmsd_ru_005010212.exe','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\AdbWinApi.DLL','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\AdbWinUsbApi.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\AndriodServer.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\BrowserPlugIn.dll','32');
 DeleteFile('C:\Program Files (x86)\MPC Cleaner\Cleaner.dll','32');
 DeleteFile('C:\Users\Артур\AppData\Local\gmsd_ru_005010212\upgmsd_ru_005010212.exe','32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010212\gmsd_ru_005010212.exe','32');
 DeleteFile('C:\Users\Артур\AppData\Local\blacount\blcn_sb.exe','32');
 DeleteFile('C:\Users\Артур\AppData\Local\blacount\config.json','32');
 DeleteFile('C:\ProgramData\OCTFfOgVcHhq\TKYYaHl0.bat','32');
 DeleteFile('C:\ProgramData\QGSUwGgQ\sKbWTsqQjG5.bat','32');
 DeleteFile('C:\Windows\system32\searchprotectservice.exe','32');
 DeleteFile('C:\Windows\syswow64\searchprotectservice.exe','32');
DeleteService('zutuzuni');
 DeleteService('wucotusy');
 DeleteService('WindowsMangerProtect');
 DeleteService('SSFK');
 DeleteService('MPCProtectService');
 DeleteService('kerejewizbt');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','blacount');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','C');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010212.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010212');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@Artur Mamaev · 20.01.2016, 22:28 **[ТС]**

Выполнил.

@Artur Mamaev · 21.01.2016, 00:09 **[ТС]**

Повторно произвел сбор логов.

@thyrex · 21.01.2016, 19:57

Сделайте лог МВАМ

@Artur Mamaev · 22.01.2016, 02:08 **[ТС]**

Сделал. Не могу загрузить отчет: mbam-log-2016-01-22.txt:
Ваш файл занимает 40.7 Кб байт, что превышает предел на форуме в 20.0 Кб для этого типа файла.

@thyrex · 23.01.2016, 05:57

Заархивируйте

@Artur Mamaev · 23.01.2016, 13:44 **[ТС]**

Сделал.

@thyrex · 23.01.2016, 14:04

Удалите в МВАМ все, кроме

Код

CrackTool.Agent.Keygen, F:\distributiv_soft\Восстановление данных\Hetman Software Pack 28.02.2015\Keygen.exe, , [cc7cbd7f1c7d0432866452ef27dbb848], 
PUP.Optional.StartPage, F:\distributiv_soft\Захват происходящего на экране\Bandicam 2.1.1.731 RePack (& portable) by KpoJIuK\Bandicam.v2.1.1.731.exe, , [5aee9d9f8019fc3aebf3e37117e9dc24], 
RiskWare.FilePatcher, F:\distributiv_soft\Конвертор графических файлов\Nitro Pro 10.5.4.16\crack\Patch-REPT.exe, , [67e119235940a096ab2bb9bbc73a1ae6], 
PUP.Optional.StartPage, F:\distributiv_soft\Оптимизация настроек системы\Ashampoo WinOptimizer 11.00.60 RePack by D!akov\WinOptimizer-11.00.60.exe, , [6adec9739cfd4cea66d6ffd79170b749], 
PUP.Optional.StartPage, F:\distributiv_soft\Оптимизация настроек системы\Process Lasso Pro 7.8 Final RePack (& Portable) by D!akov\PLPro-7.8.exe, , [cd7bf24a37624aec1b21fdd90100f907], 
RiskWare.FilePatcher, F:\distributiv_soft\Очистка нежелательных приложений\Hitman Pro 3.7.9 Build 238\hitmanpro.3.7.x-patch.exe, , [97b190ac8e0ba78ff7df4133af5230d0], 
RiskWare.FilePatcher, F:\distributiv_soft\Печать\GreenCloud Printer Pro 7.7.3.0\GCP-7.7.3.0-patch.exe, , [99af2d0f1980ff379244d1a3cf32ac54],

@Artur Mamaev · 23.01.2016, 19:44 **[ТС]**

Извините. Т.е поставить галочки на все, кроме этих 7 строк. И нажать "удалить выбранное"?

@thyrex · 24.01.2016, 10:54

Именно так

@Artur Mamaev · 24.01.2016, 14:18 **[ТС]**

Вот отчет.

@Artur Mamaev · 24.01.2016, 14:25 **[ТС]**

Извините, не тот лог отправил.

@Artur Mamaev · 24.01.2016, 14:25 **[ТС]**

Вот логи.

@thyrex · 24.01.2016, 19:18

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

@Artur Mamaev · 24.01.2016, 21:00 **[ТС]**

Прикрепил.

@Artur Mamaev · 24.01.2016, 21:40 **[ТС]**

Вот что еще обнаружил. При подведении курсора к правому нижнему углу экрана, на миг всплывает вот это:

@Artur Mamaev · 24.01.2016, 21:47 **[ТС]**

При неумышленном нажатии на него, обычно это происходит при выходе из полноэкранного режима видео, открывается эксплорер с этим сайтом: http://www.theictm.org/big-diabetes-lie/

@thyrex · 25.01.2016, 19:16

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код

CreateRestorePoint:
HKLM\...\Run: [] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-2034811451-150258429-2270086044-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=7a89440494bcfca0339b550b380e4c2e&q={searchTerms}
HKU\S-1-5-21-2034811451-150258429-2270086044-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=7a89440494bcfca0339b550b380e4c2e&q={searchTerms}
Toolbar: HKU\S-1-5-21-2034811451-150258429-2270086044-1001 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR StartupUrls: Profile 2 -> "hxxp://www.yoursearching.com/?type=hp&ts=1453203906&z=c32f2269102bfbf4393d02bgfz7w3c8odecc3teode&from=face&uid=3219913727_198339_FE69F312"
CHR Extension: (Скачать музыку с Вконтакте (vk.com)) - C:\Users\Артур\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\afkpfjljjhhonjehpkmgonimjjgaheap [2015-12-17]
OPR Extension: (blacount) - C:\Users\Артур\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-01-19]
2016-01-20 18:46 - 2016-01-20 18:46 - 00000008 _____ C:\END
2016-01-19 17:48 - 2016-01-19 18:04 - 00000000 ____D C:\Users\Артур\AppData\Local\Amigo
2016-01-19 17:46 - 2016-01-21 01:14 - 00000000 ____D C:\Users\Все пользователи\QGSUwGgQ
2016-01-19 17:46 - 2016-01-21 01:14 - 00000000 ____D C:\Users\Все пользователи\OCTFfOgVcHhq
2016-01-19 17:46 - 2016-01-21 01:14 - 00000000 ____D C:\ProgramData\QGSUwGgQ
2016-01-19 17:46 - 2016-01-21 01:14 - 00000000 ____D C:\ProgramData\OCTFfOgVcHhq
2016-01-19 17:46 - 2016-01-19 17:46 - 00000000 ____D C:\Users\Все пользователи\egaRERUKjvnlmr
2016-01-19 17:46 - 2016-01-19 17:46 - 00000000 ____D C:\ProgramData\egaRERUKjvnlmr
2016-01-19 17:01 - 2016-01-19 17:01 - 00000153 _____ C:\Windows\SysWOW64\L
2016-01-19 16:56 - 2016-01-19 16:54 - 00001558 _____ C:\Windows\system32\Drivers\etc\hp.bak
2016-01-19 16:51 - 2016-01-19 16:51 - 00000000 ____D C:\Users\Все пользователи\OCNwKbPhCpJqU
2016-01-19 16:51 - 2016-01-19 16:51 - 00000000 ____D C:\Users\Все пользователи\lXrjjbKM
2016-01-19 16:51 - 2016-01-19 16:51 - 00000000 ____D C:\Users\Все пользователи\FLeVBPYySK
2016-01-19 16:51 - 2016-01-19 16:51 - 00000000 ____D C:\Users\Артур\AppData\Local\tCLUNnVhDRuy
2016-01-19 16:51 - 2016-01-19 16:51 - 00000000 ____D C:\ProgramData\OCNwKbPhCpJqU
2016-01-19 16:51 - 2016-01-19 16:51 - 00000000 ____D C:\ProgramData\lXrjjbKM
2016-01-19 16:51 - 2016-01-19 16:51 - 00000000 ____D C:\ProgramData\FLeVBPYySK
C:\Users\Артур\AppData\Local\Temp\fsd65D2.exe
AlternateDataStreams: C:\ProgramData\Temp:D8999815
AlternateDataStreams: C:\Users\Все пользователи\Temp:D8999815
CustomCLSID: HKU\S-1-5-21-2034811451-150258429-2270086044-1001_Classes\CLSID\{33A431BB-FF15-4047-8FEC-F82FD3523A00}\localserver32 -> C:\Users\Артур\AppData\Roaming\Yandex\YandexDisk\YandexDisk.exe -autoplay => No File
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@Artur Mamaev · 25.01.2016, 20:29 **[ТС]**

Пожалуйста.

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	21.01.2016, 19:57	5
	Сделайте лог МВАМ 0

@Artur Mamaev 0 / 0 / 0 Регистрация: 19.01.2016 Сообщений: 21
	22.01.2016, 02:08 [ТС]	6
	Сделал. Не могу загрузить отчет: mbam-log-2016-01-22.txt: Ваш файл занимает 40.7 Кб байт, что превышает предел на форуме в 20.0 Кб для этого типа файла. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	23.01.2016, 05:57	7
	Заархивируйте 0

@Artur Mamaev 0 / 0 / 0 Регистрация: 19.01.2016 Сообщений: 21
	23.01.2016, 19:44 [ТС]	10
	Извините. Т.е поставить галочки на все, кроме этих 7 строк. И нажать "удалить выбранное"? 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.01.2016, 10:54	11
	Именно так 0

@Artur Mamaev 0 / 0 / 0 Регистрация: 19.01.2016 Сообщений: 21
	24.01.2016, 14:25 [ТС]	13
	Извините, не тот лог отправил. 0

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.01.2016, 19:18	15
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив**) и прикрепите к сообщению. 0

@Artur Mamaev 0 / 0 / 0 Регистрация: 19.01.2016 Сообщений: 21
	24.01.2016, 21:40 [ТС]	17
	Вот что еще обнаружил. При подведении курсора к правому нижнему углу экрана, на миг всплывает вот это: Миниатюры 0

@Artur Mamaev 0 / 0 / 0 Регистрация: 19.01.2016 Сообщений: 21
	24.01.2016, 21:47 [ТС]	18
	При неумышленном нажатии на него, обычно это происходит при выходе из полноэкранного режима видео, открывается эксплорер с этим сайтом: http://www.theictm.org/big-diabetes-lie/ 0