0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
1

Самопроизвольная установка программ, которые не удаляются

26.05.2015, 12:35. Показов 1547. Ответов 17
Метки нет (Все метки)

Устанавливаются программы - Crossbrowse, Reimage Repair, YTDowloader и т.д. После удаления и перезагрузки устанавливаются вновь. В хроме поменялась поисковая система по умолчанию на GetSearch и не меняется, написано "установлено администратором".
Вложения
Тип файла: zip CollectionLog-2015.05.26-14.20.zip (275.5 Кб, 2 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
26.05.2015, 12:35
Ответы с готовыми решениями:

Самопроизвольная установка программ
Вследствие неосторожного запуска файла .exe стали сами собой в фоновом режиме устанавливаться...

Самопроизвольная установка программ
Здравствуйте! Столкнулся с очень неприятной проблемой, после скачивания и попытки установки...

Самопроизвольная установка программ
Приветствую. Столкнулся с такой проблемой. Самопроизвольно устанавливается программа RedClean Pro,...

Самопроизвольная установка программ
Добрый день. Словил вирус который устанавливает программы и меняет поисковик в хроме.Так-же лезут...

17
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
26.05.2015, 13:01 2
Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя gudim. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО (что удастся):
AnyProtect
Crossbrowse
Edu App
Ge-Force
Reimage Repair
SavePass 1.1
Shopper-Pro
YTDownloader
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     QuarantineFile('C:\Program Files (x86)\Zaxar\timetasks.exe','');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
     QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','');
     QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys','');
     QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
     QuarantineFile('C:\Users\Илья\AppData\Local\Yandex\browser.bat', '');
     QuarantineFile('C:\iexplore.bat', '');
     DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16349.225\QMUdisk64.sys','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
     DeleteFile('C:\Program Files (x86)\Zaxar\timetasks.exe','32');
     DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
     DeleteFile('C:\Users\Илья\AppData\Local\Yandex\browser.bat', '32');
     DeleteFile('C:\iexplore.bat', '32');
     DeleteService('QMUdisk');
     DeleteService('xyjequfu');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
    ExecuteSysClean;
     BC_DeleteSvc('rupowoby');
     BC_DeleteSvc('wyjuryvy');
     ExecuteRepair(2);
     ExecuteRepair(3);
     ExecuteRepair(4);
     ExecuteWizard('SCU', 2, 3, true);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

  3. Файл CheckBrowserLnk.log
    из папки
    ...\AutoLogger\CheckBrowserLnk
    перетащите на утилиту ClearLNK.



    Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

  4. Подготовьте лог сканирования AdwCleaner.
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
26.05.2015, 13:52  [ТС] 3
Вроде все сделал правильно
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
26.05.2015, 13:53 4
По п.п.3 и 4 приложите файлы отчетов.
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
26.05.2015, 13:57  [ТС] 5
Приложил
Вложения
Тип файла: log ClearLNK-26.05.2015_15-40.log (7.2 Кб, 2 просмотров)
Тип файла: log Check_Browsers_LNK.log (13.6 Кб, 1 просмотров)
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
26.05.2015, 13:59 6
п. 3 - правильно, а п. 4 нужно:
Цитата Сообщение от shestale Посмотреть сообщение
После завершения сканирования лог будет автоматически сохранен в следующем расположении:
C:\AdwCleaner\AdwCleaner[R0].txt
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
26.05.2015, 14:02  [ТС] 7
Упс
Вложения
Тип файла: txt AdwCleaner[R0].txt (19.4 Кб, 3 просмотров)
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
26.05.2015, 14:21 8
Если уже закрыли:
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.


Далее:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
26.05.2015, 14:46  [ТС] 9
AdwCleaner[S0].txt делал до этого. Приложил сделанные еще раз AdwCleaner[S1].txt
Вложения
Тип файла: zip Desktop.zip (26.0 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[S0].txt (16.9 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[S1].txt (955 байт, 2 просмотров)
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
26.05.2015, 14:55 10
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код
start
CreateRestorePoint:
(Got it now) C:\Users\Илья\AppData\Local\Host installer\2564472323_monster.exe
HKU\S-1-5-21-868552245-432234081-3621157725-1000\...\Run: [AdobeBridge] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: HKU\S-1-5-21-868552245-432234081-3621157725-1000 - (No Name) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - No File
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Илья\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-14]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Илья\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-05-26]
S2 rupowoby; C:\Users\Илья\AppData\Roaming\03000200-1432550725-0500-0006-000700080009\jnsnEBB8.tmp [X]
S2 wyjuryvy; C:\Users\Илья\AppData\Roaming\03000200-1432550725-0500-0006-000700080009\hnsy12AB.tmp [X]
2015-05-26 12:33 - 2015-05-26 12:32 - 00613255 _____ (CMI Limited) C:\Users\Илья\AppData\Local\nstA205.tmp
2015-05-26 10:33 - 2015-05-26 10:33 - 00613255 _____ (CMI Limited) C:\Users\Илья\AppData\Local\nsi5273.tmp
2015-05-25 15:47 - 2015-05-25 15:48 - 00000098 ____H () C:\launcher.bat
2015-05-25 15:47 - 2015-05-18 13:01 - 00888440 ____H (Opera Software) C:\lаunсhеr.bаt.exe
2015-05-25 15:47 - 2015-04-22 06:48 - 00815304 ____H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-05-25 15:46 - 2015-05-25 15:46 - 00333506 _____ (AnySend.com) C:\Users\Илья\AppData\Local\nsmCC4D.tmp
2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\Илья\AppData\Roaming\LFGq5cDyoto7OVHnWA2uyuWpN4
2015-04-20 19:05 - 2015-04-20 19:05 - 1579520 _____ () C:\Users\Илья\AppData\Roaming\LFGq5cDyoto7OVHnWA2uyuWpN4.exe
2015-05-26 10:33 - 2015-05-26 10:33 - 0613255 _____ (CMI Limited) C:\Users\Илья\AppData\Local\nsi5273.tmp
2015-05-25 15:46 - 2015-05-25 15:46 - 0333506 _____ (AnySend.com) C:\Users\Илья\AppData\Local\nsmCC4D.tmp
2015-05-26 12:33 - 2015-05-26 12:32 - 0613255 _____ (CMI Limited) C:\Users\Илья\AppData\Local\nstA205.tmp
Task: C:\Windows\Tasks\LFGq5cDyoto7OVHnWA2uyuWpN4.job => C:\Users\эяэяэяэя\AppData\Roaming\LFGq5cDyoto7OVHnWA2uyuWpN4.exe <==== ATTENTION
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
26.05.2015, 15:03  [ТС] 11
приложил Fixlog.txt
Вложения
Тип файла: txt Fixlog.txt (4.5 Кб, 2 просмотров)
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
26.05.2015, 15:06 12
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
27.05.2015, 07:59  [ТС] 13
Повторил логи
Вложения
Тип файла: zip CollectionLog-2015.05.27-09.57.zip (60.7 Кб, 2 просмотров)
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
27.05.2015, 20:01 14
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\Илья\appdata\local\host installer\2564472323_monster.exe');
 QuarantineFile('C:\Users\Илья\AppData\Roaming\istartsurf\UninstallManager.exe','');
 QuarantineFile('c:\users\Илья\appdata\local\host installer\2564472323_monster.exe','');
 DeleteFile('c:\users\Илья\appdata\local\host installer\2564472323_monster.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\Илья\AppData\Roaming\istartsurf\UninstallManager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{8F46D216-C696-4688-85DC-9F6EDCF68422}','64');
 DeleteFileMask('c:\users\Илья\appdata\local\host installer\', '*', true);
 DeleteFileMask('C:\Users\Илья\AppData\Roaming\istartsurf\', '*', true);
 DeleteDirectory('c:\users\Илья\appdata\local\host installer\');
 DeleteDirectory('C:\Users\Илья\AppData\Roaming\istartsurf\');
 ExecuteSysClean;
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполните такой скрипт:
Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Еще раз повторите логи по правилам.
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
28.05.2015, 08:49  [ТС] 15
Все сделал. Логи в приложении.
Вложения
Тип файла: zip CollectionLog-2015.05.28-10.47.zip (60.9 Кб, 2 просмотров)
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
28.05.2015, 08:56 16
Чисто. Проблема решена?
0
0 / 0 / 0
Регистрация: 26.05.2015
Сообщений: 9
28.05.2015, 09:16  [ТС] 17
решена. Спасибо большое!
0
Вирусоборец
16842 / 13761 / 2502
Регистрация: 08.10.2012
Сообщений: 55,814
28.05.2015, 09:17 18
Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Прочтите и выполните Рекомендации после удаления вредоносного ПО
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
28.05.2015, 09:17

Самопроизвольная установка программ
У меня вдруг начались устанавливаться программы такие как Crossbrowse, gamedesktop і другие. При...

Самопроизвольная установка программ
Здравствуйте, у меня такая проблема. После установки на компьютер неизвестной программы, начались...

Самопроизвольная установка программ
Устанавливаются программы от Яндекса и Мейла. При удаление и перезагрузке компьютера всё...

Самопроизвольная установка программ
Доброго времени суток! На мой компьютер при самопроизвольно устанавливается нежелательное ПО, такое...

Самопроизвольная установка программ
Самопроизвольная установка программ BikaRSS, aMuleC, Kyubey. Наверное есть еще какие то, мной не...

Самопроизвольная установка программ
Доброго дня. Столкнулся со следуюещей проблемой. На клиентском компе установлено много программ,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.