После загрузки windows самопроизвольно начали устанавливаться всякие ненужные программы

@terri270 · Регистрация: 20.08.2015

Author24 — интернет-сервис помощи студентам

Здравствуйте! Схватил вирус. Начали устанавливаться всякие программы и реклама лезет в браузер. Невозможно что то открыть сразу перекидывает на какой - то левый сайт. Очень похоже на эту тему: Программы устанавливаются самостоятельно (Программы устанавливаются самостоятельно)

@thyrex · 20.08.2015, 15:16

Выполните скрипт в AVZ

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.521\baiduprotect.exe');
 TerminateProcessByName('c:\programdata\exttag\exttag.exe');
 TerminateProcessByName('C:\Program Files\igfx32\packages\1dc2c6e5-40a1-437d-be07-c80b418a3047\fchk.exe');
 TerminateProcessByName('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\hnsa3369.tmp');
 TerminateProcessByName('C:\Program Files\igfx32\igfx32.exe');
 TerminateProcessByName('c:\program files (x86)\iobit\liveupdate\iobitlauncher.exe');
 TerminateProcessByName('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\jnsi775.tmp');
 TerminateProcessByName('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\knsg1903.tmp');
 TerminateProcessByName('c:\programdata\acimmyiiv\kur3bim.exe');
 TerminateProcessByName('C:\ProgramData\AcimmYiiv\kur6bim.exe');
 TerminateProcessByName('c:\programdata\acimmyiiv\kurabim.exe');
 TerminateProcessByName('c:\programdata\acimmyiiv\kurdbim.exe');
 TerminateProcessByName('c:\programdata\acimmyiiv\kurwbim.exe');
 TerminateProcessByName('c:\users\Филатов.mntc\appdata\local\gmsd_ru_025010063\upgmsd_ru_025010063.exe');
 TerminateProcessByName('c:\programdata\exttag\y-phase.exe');
 SetServiceStart('BDMWrench', 4);
 SetServiceStart('BDArKit', 4);
 SetServiceStart('bd0004', 4);
 SetServiceStart('qurycyhy', 4);
 SetServiceStart('obouiaxjo', 4);
 SetServiceStart('igfx32', 4);
 SetServiceStart('hyverumu', 4);
 SetServiceStart('ghzinyafe', 4);
 SetServiceStart('comyninu', 4);
 SetServiceStart('BDSGRTP', 4);QuarantineFile('C:\Program Files\Adblock Plus for IE\AdblockPlusEngine.exe','');
 QuarantineFile('c:\programdata\acimmyiiv\kur3bim.dll','');
 QuarantineFile('C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe','');
 QuarantineFile('C:\Users\Филатов.MNTC\AppData\Local\Host installer\4034058667_installcube.exe','');
 QuarantineFile('C:\Users\Филатов.MNTC\AppData\Local\SmartWeb\SmartWebHelper.exe','');
 QuarantineFile('C:\Users\D3E5~1.MNT\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','');
 QuarantineFile('c:\programdata\{ad4c5a47-63b9-7175-ad4c-c5a4763b691d}\hqghumeaylnlf.exe','');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','');
 QuarantineFile('C:\Users\Филатов.MNTC\AppData\Local\gmsd_ru_005010065\upgmsd_ru_005010065.exe','');
 QuarantineFile('C:\Users\Филатов.MNTC\AppData\Roaming\Browsers\exe.resworb.bat','');
 QuarantineFile('C:\Users\Филатов.MNTC\AppData\Local\gmsd_ru_025010063\upgmsd_ru_025010063.exe','');
 QuarantineFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','');
 QuarantineFile('C:\Windows\system32\drivers\wpnfd_1_10_0_5.sys','');
 QuarantineFile('c:\Program Files (x86)\Super Optimizer\SupOptCrash.dll','');
 QuarantineFile('c:\programdata\exttag\y-phase.exe','');
 QuarantineFile('c:\users\Филатов.mntc\appdata\local\gmsd_ru_025010063\upgmsd_ru_025010063.exe','');
 QuarantineFile('c:\programdata\acimmyiiv\kurwbim.exe','');
 QuarantineFile('c:\programdata\acimmyiiv\kurdbim.exe','');
 QuarantineFile('c:\programdata\acimmyiiv\kurabim.exe','');
 QuarantineFile('C:\ProgramData\AcimmYiiv\kur6bim.exe','');
 QuarantineFile('c:\programdata\acimmyiiv\kur3bim.exe','');
 QuarantineFile('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\knsg1903.tmp','');
 QuarantineFile('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\jnsi775.tmp','');
 QuarantineFile('c:\program files (x86)\iobit\liveupdate\iobitlauncher.exe','');
 QuarantineFile('C:\Program Files\igfx32\igfx32.exe','');
 QuarantineFile('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\hnsa3369.tmp','');
 QuarantineFile('C:\Program Files\igfx32\packages\1dc2c6e5-40a1-437d-be07-c80b418a3047\fchk.exe','');
 QuarantineFile('c:\programdata\exttag\exttag.exe','');
 DeleteFile('c:\program files (x86)\common files\baidu\baiduprotect1.3\1.3.0.521\baiduprotect.exe','32');
 DeleteFile('c:\programdata\exttag\exttag.exe','32');
 DeleteFile('C:\Program Files\igfx32\packages\1dc2c6e5-40a1-437d-be07-c80b418a3047\fchk.exe','32');
 DeleteFile('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\hnsa3369.tmp','32');
 DeleteFile('C:\Program Files\igfx32\igfx32.exe','32');
 DeleteFile('c:\program files (x86)\iobit\liveupdate\iobitlauncher.exe','32');
 DeleteFile('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\jnsi775.tmp','32');
 DeleteFile('c:\program files (x86)\ffffffff-1439901869-ffff-ffff-ffffffffffff\knsg1903.tmp','32');
 DeleteFile('c:\users\Филатов.mntc\appdata\local\gmsd_ru_025010063\upgmsd_ru_025010063.exe','32');
 DeleteFile('c:\programdata\exttag\y-phase.exe','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\7z.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\ad.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDKitUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDLogicUtils.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDMNet.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\BDMReport.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\DriverManager.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\dynplugins\BbSavior.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\plugins\BaiduRepair.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\plugins\HIPS.dll','32');
 DeleteFile('C:\Program Files (x86)\Common Files\Baidu\BaiduProtect1.3\1.3.0.521\SafeBrowserDll.dll','32');
 DeleteFile('c:\Program Files (x86)\Super Optimizer\SupOptCrash.dll','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0004.sys','32');
 DeleteFile('C:\Windows\System32\Drivers\BDArKit.SYS','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench.sys','32');
 DeleteFile('BDArKit.sys','32');
 DeleteFile('BDMWrench.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\bd0002.sys','32');
 DeleteFile('C:\Windows\system32\DRIVERS\BDMWrench_x64.sys','32');
 DeleteFile('C:\Windows\system32\drivers\wpnfd_1_10_0_5.sys','32');
 DeleteFile('C:\Windows\system32\drivers\wsafd_1_10_0_19.sys','32');
 DeleteFile('C:\Users\Филатов.MNTC\AppData\Local\gmsd_ru_025010063\upgmsd_ru_025010063.exe','32');
 DeleteFile('C:\Users\Филатов.MNTC\AppData\Roaming\Browsers\exe.resworb.bat','32');
 DeleteFile('C:\Users\Филатов.MNTC\AppData\Local\gmsd_ru_005010065\upgmsd_ru_005010065.exe','32');
 DeleteFile('C:\Windows\Tasks\2QwZu9l9tgtpv.job','64');
 DeleteFile('C:\Windows\Tasks\9c3e6e1f-e3ff-4734-befe-f99f3939065b-1-6.job','64');
 DeleteFile('C:\Windows\Tasks\9c3e6e1f-e3ff-4734-befe-f99f3939065b-1-7.job','64');
 DeleteFile('C:\Windows\Tasks\9c3e6e1f-e3ff-4734-befe-f99f3939065b-10_user.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP1.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP2.job','64');
 DeleteFile('C:\Windows\Tasks\APSnotifierPP3.job','64');
 DeleteFile('C:\Windows\Tasks\Crossbrowse.job','64');
 DeleteFile('C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe','32');
 DeleteFile('c:\programdata\{ad4c5a47-63b9-7175-ad4c-c5a4763b691d}\hqghumeaylnlf.exe','32');
 DeleteFile('C:\Users\D3E5~1.MNT\AppData\Roaming\PennyBee\UPDATE~1\UPDATE~1.EXE','32');
 DeleteFile('C:\Windows\Tasks\Optscan.job','64');
 DeleteFile('C:\Windows\Tasks\PennyBee.job','64');
 DeleteFile('C:\Windows\system32\Tasks\9c3e6e1f-e3ff-4734-befe-f99f3939065b-1-6','64');
 DeleteFile('C:\Windows\system32\Tasks\9c3e6e1f-e3ff-4734-befe-f99f3939065b-1-7','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP1','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP2','64');
 DeleteFile('C:\Windows\system32\Tasks\APSnotifierPP3','64');
 DeleteFile('C:\Windows\system32\Tasks\Crossbrowse','64');
 DeleteFile('C:\Windows\system32\Tasks\Optscan','64');
 DeleteFile('C:\Windows\system32\Tasks\PennyBee','64');
 DeleteFile('C:\Windows\system32\Tasks\SmartWeb Upgrade Trigger Task','64');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Филатов.MNTC\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
 DeleteFile('C:\Users\Филатов.MNTC\AppData\Local\Host installer\4034058667_installcube.exe','32');
 DeleteFile('C:\Program Files (x86)\Super Optimizer\SupOptLauncher.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search','64');
 DeleteFile('C:\Windows\system32\Tasks\Yahoo! Search Udpater','64');
DeleteFile('C:\ProgramData\AcimmYiiv\kur6bim.exe','32');
 DeleteFile('c:\programdata\acimmyiiv\kurabim.exe','32');
 DeleteFile('c:\programdata\acimmyiiv\kurdbim.exe','32');
 DeleteFile('c:\programdata\acimmyiiv\kurwbim.exe','32');
 DeleteService('LiveUpdateSvc');
 DeleteService('qurycyhy');
 DeleteService('obouiaxjo');
 DeleteService('igfx32');
 DeleteService('hyverumu');
 DeleteService('ghzinyafe');
 DeleteService('comyninu');
 DeleteService('BDSGRTP');
 DeleteService('bd0004');
 DeleteService('BDArKit');
 DeleteService('BDMWrench');
 DeleteService('agjyhdld');
 DeleteService('bd0002');
 DeleteService('BDMWrench_x64');
 DeleteService('wpnfd_1_10_0_5');
 DeleteService('wsafd_1_10_0_19');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_025010063.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010065.exe');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

Распакуйте архив с утилитой в отдельную папку.
Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif
Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@terri270 · 24.08.2015, 08:49 **[ТС]**

Лог

@terri270 · 24.08.2015, 11:58 **[ТС]**

Пожалуйста лог

@thyrex · 24.08.2015, 20:11

Сделайте лог МВАМ

@terri270 · 25.08.2015, 10:50 **[ТС]**

Вот пожалуйста. Текстовый файл не проходил по объёму - поэтому его заархивировал

@thyrex · 25.08.2015, 17:45

Удалите в МВАМ все, кроме

Код

PUP.Optional.OpenCandy, D:\Мои документы\DAEMON Tools Lite 4.49.1.0356.exe, , [01053cd1810a3303aeda641b8e778a76], 
PUP.Optional.OpenCandy, D:\с рабочего стола и документы от 18 июня 2014 г\Мои документы\DAEMON Tools Lite 4.49.1.0356.exe, , [47bffe0f25669a9cd1b7b7c86e97b44c], 
PUP.Optional.LoadMoney, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Загрузки\archive.1.exe, , [a36323eac6c5c86e669ecd1ff709659b], 
Hoax.Smspay, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Загрузки\drayvera_dlya_protsessorov_amd_phenom.zip.exe, , [48becc4133580a2cbfa9a03604fc53ad], 
PUP.Optional.APNToolBar.A, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Загрузки\DriverUpdaterSetup-2.0.0.6003.exe, , [8284c647c2c95cda9a3101a40ef305fb], 
PUP.Optional.LoadMoney, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Загрузки\everestultimate550.exe, , [42c46da01576280eecbbba42926ed42c], 
PUP.RuBar, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Загрузки\file04052012.rar, , [f5119c71d1ba7db926f8c0d9dd234eb2], 
PUP.Adware.MediaGet, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Загрузки\MediaGet_id2222341id.exe, , [e22432dbafdc46f0bc1ff613af51dc24], 
PUP.HackTool.Patcher, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Загрузки\Hard.Drive.Inspector.4.14.165\patch&serial\hard.drive.inspector.3.xx-patch.exe, , [26e052bbf794aa8c4f827395709004fc], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_.rar, , [c73fd03dd7b4f541b94e5276669e29d7], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_\Norton WinDoctor 2009\Norton WinDoctor.exe, , [6e987e8f2467b5813dca04c4986cf30d], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_\Norton WinDoctor 2009\norton.rar, , [877f0706cdbe0036e7205078c14353ad], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_\Norton WinDoctor 2009\norton\Norton WinDoctor.exe, , [b15546c776152d09ac5bccfc4bb9eb15], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_\Norton WinDoctor 2009\norton\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE, , [dd296ba2ff8ca78f7d8a6068e91b1ce4], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_\Norton WinDoctor 2009\norton\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe, , [0df9d23b1f6cac8aff08e6e262a2eb15], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_\Norton WinDoctor 2009\Stubs\1727fadf1eabcb14d58c4ee39ebd78bacfe10ea\REGWDOC.EXE, , [13f3c34ab7d46ccad1368b3d0400af51], 
PUP.Optional.Downloader, D:\с рабочего стола от 30 августа 2013 г\мои документы и загрузки от 30 августа 2013 г\Мои рисунки\Новая папка\Norton_WinDoctor_22.0.0.52_Rus__portable_\Norton WinDoctor 2009\Stubs\dbfaa46b6d7e2fdb8e943531ec634229cdd6ab19\SymUndo.exe, , [7294e9240e7d5ed859ae24a4a3612bd5],

@thyrex 13100 / 7251 / 1535 Регистрация: 06.09.2009 Сообщений: 26,482
	24.08.2015, 20:11	5
	Сделайте лог МВАМ 0

	25.08.2015, 17:45