Самопроизвольная установка программ

@Katrin_Z · Регистрация: 30.09.2016

Author24 — интернет-сервис помощи студентам

Добрый день! Нужна помощь. Уже который день воюю с компьютером своим. После включения начинается установка программ, таких как Caster, Social2Search, IconRunner и другие. Пыталась удалять - не помогает, после перезагрузки начинается все то же самое. А если их не удалять, то к ним ещё наустанавливается куча всего (какие-то китайские браузеры и тд.). В общем, жду помощи

@Sandor · 30.09.2016, 11:00

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Katrin_Z. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

IconRunner version 1.0
Social2Search
WildWestCoupon
youndoo - Uninstall

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files\8bc16921915e36f18c2e9f962bbda7cc\4c29a7ddb231dadf7462a3a3d9b06d4e.exe');
 TerminateProcessByName('c:\users\km_rus~1\appdata\local\temp\dbupdater.exe');
 TerminateProcessByName('c:\programdata\hdtask\hdtask.exe');
 TerminateProcessByName('C:\Program Files\SpaceSoundPro\wizzcaster.exe');
 StopService('cherimoya');
 StopService('98151937bb072b795ab39d8b2f300254');
 QuarantineFileF('c:\programdata\hdtask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files\spacesoundpro', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFileF('c:\program files (x86)\dpower', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('C:\Users\km_rusova\ReportSender\ReportSender.exe','');
 QuarantineFile('C:\Users\km_rusova\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe','');
 QuarantineFile('C:\Windows\system32\drivers\netfilter64.sys','');
 QuarantineFile('C:\Windows\system32\drivers\cherimoya.sys','');
 QuarantineFile('C:\Users\km_rusova\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe','');
 QuarantineFile('C:\Users\km_rusova\AppData\Roaming\AzigcWig\Geeswu.exe','');
 QuarantineFile('C:\Program Files\8bc16921915e36f18c2e9f962bbda7cc\4c29a7ddb231dadf7462a3a3d9b06d4e.exe','');
 QuarantineFile('c:\users\km_rus~1\appdata\local\temp\dbupdater.exe', '');
 QuarantineFile('c:\programdata\hdtask\hdtask.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\wizzcaster.exe', '');
 QuarantineFile('C:\ProgramData\service.exe', '');
 QuarantineFile('C:\Program Files (x86)\DPower\9IBSGHKTE6.exe', '');
 QuarantineFile('C:\Users\km_rusova\AppData\Local\Temp\00009391\msiql.exe', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Manager" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ReportSender" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\8bc16921915e36f18c2e9f962bbda7cc\4c29a7ddb231dadf7462a3a3d9b06d4e.exe','32');
 DeleteFile('C:\Users\km_rusova\AppData\Roaming\AzigcWig\Geeswu.exe','32');
 DeleteFile('C:\Users\km_rusova\AppData\Roaming\Hemkajdoa\Hemkajdoa.exe','32');
 DeleteFile('C:\Windows\system32\drivers\cherimoya.sys','32');
 DeleteFile('C:\Windows\system32\drivers\netfilter64.sys','32');
 DeleteFile('C:\Program Files (x86)\IconRunner\MoneyBot.exe','32');
 DeleteFile('C:\Users\km_rusova\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Users\km_rusova\ReportSender\ReportSender.exe','32');
 DeleteFile('c:\users\km_rus~1\appdata\local\temp\dbupdater.exe', '32');
 DeleteFile('c:\programdata\hdtask\hdtask.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\wizzcaster.exe', '32');
 DeleteFile('C:\ProgramData\service.exe', '32');
 DeleteFile('C:\Program Files (x86)\DPower\9IBSGHKTE6.exe', '32');
 DeleteFile('C:\Users\km_rusova\AppData\Local\Temp\00009391\msiql.exe', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteService('netfilter64');
 DeleteService('cherimoya');
 DeleteService('Viokdojvaf');
 DeleteService('Citdhwa');
 DeleteService('98151937bb072b795ab39d8b2f300254');
 DeleteFileMask('c:\programdata\hdtask', '*', true);
 DeleteFileMask('c:\program files\spacesoundpro', '*', true);
 DeleteFileMask('c:\program files (x86)\dpower', '*', true);
 DeleteDirectory('c:\programdata\hdtask');
 DeleteDirectory('c:\program files\spacesoundpro');
 DeleteDirectory('c:\program files (x86)\dpower');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','IconRunner');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','hdtask');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Caster');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\GoogleChromeUpService','EventMessageFile');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DYUEK2M9I7','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msiql','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@Katrin_Z · 30.09.2016, 11:38 **[ТС]**

Всё сделала, вот логи

@Sandor · 30.09.2016, 11:42

1.

Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить:
- Политики IE
- Политики Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Katrin_Z · 30.09.2016, 14:35 **[ТС]**

1. AdwCleaner (by ToolsLib). При сканировании все было хорошо, но как только включаю "Очистку" тут же включается антивирус и дропает ее + всё зависает, ничего не работает.
2. Farbar Recovery Scan Tool. Аналогично. Как только запускаю сканирование, включается антивирус и дропает утилиту

@Sandor · 30.09.2016, 14:41

Сообщение от Katrin_Z

включается антивирус и дропает

А временно его отключить не пробовали?

@Katrin_Z · 30.09.2016, 15:26 **[ТС]**

Так я и говорю, что он сам включается из отключенного состояния и срабатывает

@Sandor · 30.09.2016, 15:39

Тогда на время лечения деинсталлируйте его.

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	30.09.2016, 11:42	4
	1. Запустите повторно AdwCleaner (by ToolsLib) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно Сбросить: Политики IE Политики Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Katrin_Z 0 / 0 / 0 Регистрация: 30.09.2016 Сообщений: 4
	30.09.2016, 14:35 [ТС]	5
	1. AdwCleaner (by ToolsLib). При сканировании все было хорошо, но как только включаю "Очистку" тут же включается антивирус и дропает ее + всё зависает, ничего не работает. 2. Farbar Recovery Scan Tool. Аналогично. Как только запускаю сканирование, включается антивирус и дропает утилиту 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	30.09.2016, 14:41	6
	Сообщение от Katrin_Z включается антивирус и дропает А временно его отключить не пробовали? 0

@Katrin_Z 0 / 0 / 0 Регистрация: 30.09.2016 Сообщений: 4
	30.09.2016, 15:26 [ТС]	7
	Так я и говорю, что он сам включается из отключенного состояния и срабатывает 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,070
	30.09.2016, 15:39	8
	Тогда на время лечения деинсталлируйте его. 0