0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
1

Автоустановка AnyProtect, Games Desktop, Smart Web

24.08.2015, 18:28. Показов 993. Ответов 15
Метки нет (Все метки)

После скачивания некой программы, не помню уже какой, каждый раз автоматически устанавливаются программы AnyProtect, Games Desktop, Smart Web и прочие
Помогите
Вложения
Тип файла: zip CollectionLog-2015.08.24-18.20.zip (84.2 Кб, 1 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
24.08.2015, 18:28
Ответы с готовыми решениями:

Самоустанавливающиеся программы: AnyProtect, Smart Web, Games Desktop и т.д
Недавно появились программы, которые невозможно удалить ни антивирусом ни AdwCleaner(ом).

Устанавливаются Crossbrowser, AnyProtect, Desktop.ini
удалилась программа chrome, вместо нее установился crossbrowser, затем anyProtect, реклама Powered...

Smart Web / iObit / и прочие вирусы
Добрый день ! Сегодня пытался удалить iObit и в итоге установилось куча вредоносных программ типа...

Coodo Games & Datcroft Games Java Developer (Самара)
В Самарский офис требуется талантливый разработчик. 
О нас: - Мы разрабатываем только...

15
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
24.08.2015, 20:51 2
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\hnska7a5.tmp');
 TerminateProcessByName('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\jnsu843b.tmp');
 TerminateProcessByName('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\knszb6fa.tmp');
 SetServiceStart('jimocoso', 4);
 SetServiceStart('funimilo', 4);
 SetServiceStart('fimevebo', 4);
 DeleteService('fimevebo');
 DeleteService('funimilo');
 DeleteService('jimocoso');
 QuarantineFile('C:\Users\AMIR\AppData\Roaming\INmkfoxebYdQVPTPmWQGm.exe','');
 QuarantineFile('C:\Users\AMIR\AppData\Roaming\A9iHxo1v2Qaq9r4bWXHq.exe','');
 QuarantineFile('C:\Users\AMIR\AppData\Roaming\eTranslator\eTranslator.exe','');
 QuarantineFile('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\knszb6fa.tmp','');
 QuarantineFile('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\jnsu843b.tmp','');
 QuarantineFile('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\hnska7a5.tmp','');
 DeleteFile('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\hnska7a5.tmp','32');
 DeleteFile('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\jnsu843b.tmp','32');
 DeleteFile('c:\program files (x86)\a07ed55c-1440270040-46db-0922-2c27d7b4087b\knszb6fa.tmp','32');
 DeleteFile('jimocoso.sys','32');
 DeleteFile('funimilo.sys','32');
 DeleteFile('fimevebo.sys','32');
 DeleteFile('C:\Users\AMIR\AppData\Roaming\eTranslator\eTranslator.exe','32');
 DeleteFile('C:\Users\AMIR\AppData\Roaming\A9iHxo1v2Qaq9r4bWXHq.exe','32');
 DeleteFile('C:\Windows\Tasks\A9iHxo1v2Qaq9r4bWXHq.job','64');
 DeleteFile('C:\Users\AMIR\AppData\Roaming\INmkfoxebYdQVPTPmWQGm.exe','32');
 DeleteFile('C:\Windows\Tasks\INmkfoxebYdQVPTPmWQGm.job','64');
 DeleteFile('C:\Windows\system32\Tasks\A9iHxo1v2Qaq9r4bWXHq','64');
 DeleteFile('C:\Windows\system32\Tasks\INmkfoxebYdQVPTPmWQGm','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\eTranslator Automatic Update','command');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.


Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи
0
0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
25.08.2015, 00:22  [ТС] 3
логи
Вложения
Тип файла: zip CollectionLog-2015.08.25-00.20.zip (82.6 Кб, 1 просмотров)
0
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
25.08.2015, 17:33 4
Сделайте лог МВАМ
0
0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
27.08.2015, 00:14  [ТС] 5
вот
Вложения
Тип файла: txt mbam.txt (5.0 Кб, 1 просмотров)
0
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
27.08.2015, 07:32 6
Удалите в МВАМ все, кроме
Код
RiskWare.Hack, C:\Activators\KMSpico_v10.0.4\KMSpico_setup.exe, , [5e11f21b107b5dd962d4632e9e648b75], 
HackTool.Agent, C:\Activators\Windows Loader 2.2.2 by Daz\Windows Loader.exe, , [b4bb8b821c6f44f21de7b3149071cc34],
0
0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
27.08.2015, 10:43  [ТС] 7
Пока автоустановка не наблюдается
0
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
27.08.2015, 19:58 8
Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
[img]http://i.**********/B92LqRQ.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.
0
0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
28.08.2015, 11:14  [ТС] 9
текстовые файлы весили слишком много , пришлось в архиве
Вложения
Тип файла: rar Scan.rar (33.0 Кб, 2 просмотров)
0
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
28.08.2015, 19:48 10
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
SearchScopes: HKU\S-1-5-21-1532572586-1647080208-3759504686-1000 -> DefaultScope {BB39AB79-B620-41C1-9EE6-A3C05214A299} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=8B82BB87-D39D-42E1-A44D-AC50018A1D40&pid=37&query={searchTerms}&sc=ie
SearchScopes: HKU\S-1-5-21-1532572586-1647080208-3759504686-1000 -> {BB39AB79-B620-41C1-9EE6-A3C05214A299} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=8B82BB87-D39D-42E1-A44D-AC50018A1D40&pid=37&query={searchTerms}&sc=ie
FF Extension: No Name - C:\Users\AMIR\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\deskCutv2@gmail.com [not found]
FF Extension: No Name - C:\Users\AMIR\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\defsearchp@gmail.com [not found]
FF Extension: No Name - C:\Users\AMIR\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\defsearchp@gmail.com [not found]
CHR Extension: (SocialLife for Google Chrome™) - C:\Users\AMIR\AppData\Local\Google\Chrome\User Data\Default\Extensions\djnfikhimijfcoaoblganhllmdjejggi [2015-08-27]
OPR Extension: (No Name) - C:\Users\AMIR\AppData\Roaming\Opera Software\Opera Stable\Extensions\akaelkiagnbfcccfnmbimdbplecgbikh [2015-08-23]
OPR Extension: (No Name) - C:\Users\AMIR\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfaohpmjmhdgnjblojekjlnadhehiadj [2015-08-23]
2015-08-23 23:28 - 2015-08-23 23:28 - 00000217 _____ C:\task.vbs
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\AMIR\AppData\Roaming\A9iHxo1v2Qaq9r4bWXHq
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\AMIR\AppData\Roaming\DWKOo9hipmCZhkUF4iol
2015-04-19 15:20 - 2015-04-19 15:20 - 0005872 _____ () C:\Users\AMIR\AppData\Roaming\INmkfoxebYdQVPTPmWQGm
2015-04-14 19:28 - 2015-04-14 19:28 - 0004387 _____ () C:\Users\AMIR\AppData\Roaming\sWmumeMr8oi
C:\Users\AMIR\AppData\Local\Temp\nscBCEB.tmp.exe
Task: {749C50CE-4733-4D48-8DA5-93A2404EDC29} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {8B3183E0-15F8-417B-829D-E7EE40FB75B6} - \PhraseProfessor Auto Updater 1.10.0.22 Core -> No File <==== ATTENTION
Task: {B6321D11-1B65-45CD-B7B3-3A58F4AA2B48} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {DBECB8C4-076B-433D-8C68-AEDFFD7D1BDC} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
Task: {FE8747D5-E4C2-41ED-8BFC-84A7FA642E60} - \PhraseProfessor Auto Updater 1.10.0.22 Pending Update -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
0
0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
28.08.2015, 22:07  [ТС] 11
выполнил
Вложения
Тип файла: txt Fixlog.txt (6.9 Кб, 0 просмотров)
0
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
29.08.2015, 14:07 12
Проблема решена?
0
0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
29.08.2015, 18:09  [ТС] 13
да, огромное спасибо !
0
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
30.08.2015, 00:05 14
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
0
0 / 0 / 0
Регистрация: 24.08.2015
Сообщений: 8
30.08.2015, 23:38  [ТС] 15
вот
Вложения
Тип файла: txt SecurityCheck.txt (13.5 Кб, 2 просмотров)
0
Вирусоборец
7725 / 5164 / 878
Регистрация: 06.09.2009
Сообщений: 20,519
31.08.2015, 19:02 16
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
globalupdate Helper (x32 Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Удалите через Установку программ
Advanced SystemCare 8 v.8.1.0
CiPlus-4.5vV23.08 v.1.36.01.22
Driver Booster 2.4 v.2.4
Surfing Protection v.1.2
IObit Uninstaller v.4.2.6.2
Skype Click to Call v.7.4.0.9058
globalupdate Helper v.1.3.25.0
Сделайте лог AdwCleaner
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
31.08.2015, 19:02

Coodo Games & Datcroft Games AS3.0 Developer (Самара)
В Самарский офис требуется талантливый разработчик. 
О нас: - Мы разрабатываем только лучшие...

Coodo Games & Datcroft Games 3d Artist (Самара)
В Самарский офис требуется талантливый разработчик. 
О нас: - Мы разрабатываем только...

Desktop или Web
:facepalm:Не могу решить какую технологию изучать, то есть ли бо Desktop или Web ? Вот Desktop -...

Desktop тяжелей за Web
Вот не могу понять почему говорят что Desktop - проше чем WEB, просто многие говорят. По мне что бы...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
16
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.