Самоустанавливающиеся программы: смартвеб, геймдесктор и др

@Квики · Регистрация: 08.06.2015

Студворк — интернет-сервис помощи студентам

Доброго дня! На просторах интернета нахватала вирусов. Чистила курейтом, удаляла - ничего не помогает, после перезагрузки они снова появлялись.
Логи прикрепляю

@Sandor · 08.06.2015, 15:09

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Квики. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Edu App
GamesDesktop 033.274
SmartWeb

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\users\natali\appdata\local\temp\nsb366e.tmp');
 TerminateProcessByName('c:\users\natali\appdata\local\temp\nscb588.tmp');
 TerminateProcessByName('c:\users\natali\appdata\roaming\6eb03757-1432545345-e111-93b4-b888e3a0c1a4\nsu666b.tmp');
 StopService('nikufowu');
 QuarantineFile('c:\users\natali\appdata\local\temp\nsb366e.tmp', '');
 QuarantineFile('c:\users\natali\appdata\local\temp\nscb588.tmp', '');
 QuarantineFile('c:\users\natali\appdata\roaming\6eb03757-1432545345-e111-93b4-b888e3a0c1a4\nsu666b.tmp', '');
 QuarantineFile('C:\Users\Natali\AppData\Local\Temp\nshBAB8.tmp\Math.dll', '');
 QuarantineFile('C:\Users\Natali\AppData\Local\Temp\nshBAB8.tmp\nsCBHTML5.dll', '');
 QuarantineFile('C:\Users\Natali\AppData\Roaming\7M7Oh7i0.exe', '');
 QuarantineFile('C:\Users\Natali\AppData\Roaming\KIcKdS09PLGx.exe', '');
 QuarantineFile('C:\Program Files (x86)\Google\Chrome\chrome.bat','');
 QuarantineFile('C:\Program Files (x86)\Internet Explorer\iexplore.bat','');
 DeleteFile('c:\program files (x86)\google\chrome\chrome.bat','32');
 DeleteFile('c:\program files (x86)\internet explorer\iexplore.bat','32');
 DeleteFile('C:\Windows\Tasks\7M7Oh7i0.job', '64');
 DeleteFile('C:\Windows\Tasks\KIcKdS09PLGx.job', '64');
 DeleteFile('c:\users\natali\appdata\local\temp\nsb366e.tmp', '32');
 DeleteFile('c:\users\natali\appdata\local\temp\nscb588.tmp', '32');
 DeleteFile('c:\users\natali\appdata\roaming\6eb03757-1432545345-e111-93b4-b888e3a0c1a4\nsu666b.tmp', '32');
 DeleteFile('C:\Users\Natali\AppData\Local\Temp\nshBAB8.tmp\Math.dll', '32');
 DeleteFile('C:\Users\Natali\AppData\Local\Temp\nshBAB8.tmp\nsCBHTML5.dll', '32');
 DeleteFile('C:\Users\Natali\AppData\Roaming\7M7Oh7i0.exe', '32');
 DeleteFile('C:\Users\Natali\AppData\Roaming\KIcKdS09PLGx.exe', '32');
 DeleteService('nikufowu');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Квики · 08.06.2015, 15:24 **[ТС]**

Прикрепляю отчет и готовлю лог

@Квики · 08.06.2015, 15:34 **[ТС]**

лог сканирования AdwCleaner

@Sandor · 08.06.2015, 15:36

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

@Квики · 08.06.2015, 15:44 **[ТС]**

Прикрепляю лог

@Sandor · 08.06.2015, 15:47

Хорошо, близится финиш.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Квики · 08.06.2015, 15:54 **[ТС]**

прикрепляю

@Sandor · 08.06.2015, 16:04

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Code
start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [gmsd_ru_274] => [X]
CHR Extension: (Chrome Hotword Shared Module) - C:\Users\Natali\AppData\Local\Google\Chrome\User Data\Default\Extensions\lccekmodgklaepjeofjdjpbminllajkg [2015-03-12]
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
OPR Extension: (Shop and Save Up) - C:\Users\Natali\AppData\Roaming\Opera Software\Opera Stable\Extensions\ablgnpngfaaficpckehadaljnjgjkhbi [2015-06-08]
S2 Util Edu App; "C:\Program Files (x86)\Edu App\bin\utilEduApp.exe" [X]
2015-05-25 12:15 - 2015-05-25 12:15 - 00000000 ____D C:\Users\Все пользователи\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-05-25 12:15 - 2015-05-25 12:15 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}
2015-05-25 12:14 - 2015-05-25 12:26 - 00000000 ____D C:\Users\Natali\AppData\Roaming\Homepager
Task: C:\Windows\Tasks\Launch 17430.job => C:\Program Files (x86)\YTDownloader\YTDownloader.exe
AlternateDataStreams: C:\autoexec.bat:$CmdTcID
AlternateDataStreams: C:\Windows\SysWOW64\GPhotos.scr:$CmdTcID
AlternateDataStreams: C:\Windows\system32\Drivers\browserMon.sys:$CmdTcID
AlternateDataStreams: C:\Users\Natali\Desktop\AutoLogger.exe:$CmdTcID
AlternateDataStreams: C:\Users\Natali\Desktop\AutoLogger.exe:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Desktop\ClearLNK.exe:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Desktop\FRST64.exe:$CmdTcID
AlternateDataStreams: C:\Users\Natali\Desktop\FRST64.exe:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Downloads\adwcleaner_4.206.exe:$CmdTcID
AlternateDataStreams: C:\Users\Natali\Downloads\adwcleaner_4.206.exe:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Downloads\AutoLogger.zip:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Downloads\avz4.zip:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Downloads\ClearLNK (1).zip:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Downloads\ClearLNK.zip:$CmdZnID
AlternateDataStreams: C:\Users\Natali\Downloads\RSITx64.exe:$CmdTcID
AlternateDataStreams: C:\Users\Natali\Downloads\RSITx64.exe:$CmdZnID
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

@Квики · 08.06.2015, 16:12 **[ТС]**

прикрепляю

@Sandor · 08.06.2015, 16:17

Что с проблемой?

@Квики · 08.06.2015, 16:20 **[ТС]**

уже все?

Пока никакая гадость не вылезла

@Sandor · 08.06.2015, 16:28

Напоследок, проверим уязвимости:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Квики · 08.06.2015, 16:32 **[ТС]**

есть

@Sandor · 08.06.2015, 16:41

------------------------------- [ Windows ] -------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 15 v.7.0.150 Внимание! Скачать обновления
^Скачайте jre-7u80-windows-i586.exe^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 12 Plugin v.12.0.0.77 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
globalupdate Helper v.1.3.25.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Обновите указанное, прочтите и выполните Рекомендации после удаления вредоносного ПО

@Квики · 08.06.2015, 17:34 **[ТС]**

Обновила, как было написано выше, но что-то пошло не так

После перезагрузки сначала изменялись параметры windows, потом сами отменялись. В итоге после перезагрузки не могу открыть ни одно приложение. Ошибка приложения (0хс0000005)

@shestale · 08.06.2015, 17:38

Обновления windows в этот момент не устанавливались?

@Квики · 08.06.2015, 18:07 **[ТС]**

Не должны были..

Добавлено через 16 минут
Да, это были обновления. Удалила их и все заработало.. ФУххх

Добавлено через 10 минут
и еще.. Совсем вас замучаю (((
что делать с этим?
globalupdate Helper v.1.3.25.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Удалять? как? я ее не нахожу в списке программ

@shestale · 08.06.2015, 18:18

Она была здесь и уже удалена

C:\Program Files (x86)\globalUpdate

вероятно запись в реестре только осталась.

@Квики · 08.06.2015, 18:34 **[ТС]**

Спасли мой компьютер и мои нервы!!
Спасибо большое!

Новые блоги и статьи Все статьи Все блоги /
Модульный подход на примере F# DevAlt 06.03.2026 В блоге дяди Боба наткнулся на такое определение: В этой книге («Подход, основанный на вариантах использования») Ивар утверждает, что архитектура программного обеспечения — это структуры,. . .	Управление камерой с помощью скрипта OrbitControls.js на Three.js: Вращение, зум и панорамирование 8Observer8 05.03.2026 Содержание блога Финальная демка в браузере работает на Desktop и мобильных браузерах. Итоговый код: orbit-controls-threejs-js. zip. Сканируйте QR-код на мобильном. Вращайте камеру одним пальцем,. . .	SDL3 для Web (WebAssembly): Синхронизация спрайтов SDL3 и тел Box2D 8Observer8 04.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-sync-physics-sprites-sdl3-c. zip На первой гифке отладочные линии отключены, а на второй включены:. . .	SDL3 для Web (WebAssembly): Идентификация объектов на Box2D v3 - использование userData и событий коллизий 8Observer8 02.03.2026 Содержание блога Финальная демка в браузере. Итоговый код: finish-collision-events-sdl3-c. zip Сканируйте QR-код на мобильном и вы увидите, что появится джойстик для управления главным героем. . . .
Реалии Hrethgir 01.03.2026 Нет, я не закончил до сих пор симулятор. Эта задача сложнее. Не получилось уйти в плавсостав, но оно и к лучшему, возможно. Точнее получалось - но сварщиком в палубную команду, а это значит, в моём. . .	Ритм жизни kumehtar 27.02.2026 Иногда приходится жить в ритме, где дел становится всё больше, а вовлечения в происходящее — всё меньше. Плотный график не даёт вниманию закрепиться ни на одном событии. Утро начинается с быстрых,. . .	SDL3 для Web (WebAssembly): Сборка библиотек: SDL3, Box2D, FreeType, SDL3_ttf, SDL3_mixer и SDL3_image из исходников с помощью CMake и Emscripten 8Observer8 27.02.2026 Недавно вышла версия 3. 4. 2 библиотеки SDL3. На странице официальной релиза доступны исходники, готовые DLL (для x86, x64, arm64), а также библиотеки для разработки под Android, MinGW и Visual Studio. . . .	SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,851
	08.06.2015, 15:36
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. 0

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,851
	08.06.2015, 15:47
	Хорошо, близится финиш. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,851
	08.06.2015, 16:17
	Что с проблемой? 0

@Квики 0 / 0 / 0 Регистрация: 08.06.2015 Сообщений: 11
	08.06.2015, 16:20 [ТС]
	уже все? Пока никакая гадость не вылезла 0

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,851
	08.06.2015, 16:28
	Напоследок, проверим уязвимости: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22466 / 15920 / 3080 Регистрация: 08.10.2012 Сообщений: 64,851
	08.06.2015, 16:41
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 7 Update 15 v.7.0.150 Внимание! Скачать обновления ^Скачайте jre-7u80-windows-i586.exe^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 12 Plugin v.12.0.0.77 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- globalupdate Helper v.1.3.25.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Обновите указанное, прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@Квики 0 / 0 / 0 Регистрация: 08.06.2015 Сообщений: 11
	08.06.2015, 17:34 [ТС]
	Обновила, как было написано выше, но что-то пошло не так После перезагрузки сначала изменялись параметры windows, потом сами отменялись. В итоге после перезагрузки не могу открыть ни одно приложение. Ошибка приложения (0хс0000005) 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	08.06.2015, 17:38
	Обновления windows в этот момент не устанавливались? 0

@Квики 0 / 0 / 0 Регистрация: 08.06.2015 Сообщений: 11
	08.06.2015, 18:07 [ТС]
	Не должны были.. Добавлено через 16 минут Да, это были обновления. Удалила их и все заработало.. ФУххх Добавлено через 10 минут и еще.. Совсем вас замучаю ((( что делать с этим? globalupdate Helper v.1.3.25.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и AdwCleaner (by Xplode) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Удалять? как? я ее не нахожу в списке программ 0

@Квики 0 / 0 / 0 Регистрация: 08.06.2015 Сообщений: 11
	08.06.2015, 18:34 [ТС]
	Спасли мой компьютер и мои нервы!! Спасибо большое! 0