Самопроизвольная установка программ

@Константин_74 · Регистрация: 25.08.2015

Студворк — интернет-сервис помощи студентам

Добрый день!

Помогите избавиться от вирусов.
Самопроизвольно устанавливаются программы, в диспетчере процессы *.tmp
не могу деинсталировать AnyProtect
Удалял программы удалял, но пока писал это сообщение они опять установились.

@Sandor · 24.09.2015, 13:04

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Константин_74. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Еще раз через Панель управления - Удаление программ - удалите нежелательное ПО:

AnyProtect
VKMusic 4

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\7a976020-1442220230-11d5-9eef-20cf30e1af6c\hnsdf1f4.tmp');
 TerminateProcessByName('c:\program files\7a976020-1442220230-11d5-9eef-20cf30e1af6c\knsc1d03.tmp');
 StopService('fygulozy');
 StopService('gyvixodu');
 QuarantineFile('C:\Users\123\appdata\roaming\aspackage\aspackage.exe','');
 QuarantineFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','');
 QuarantineFile('C:\Program Files\Ticno\Multibar\multibar.exe','');
 QuarantineFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
 QuarantineFile('C:\Users\123\AppData\Local\Amigo\Application\amigo.exe','');
 QuarantineFile('c:\program files\7a976020-1442220230-11d5-9eef-20cf30e1af6c\hnsdf1f4.tmp', '');
 QuarantineFile('c:\program files\7a976020-1442220230-11d5-9eef-20cf30e1af6c\knsc1d03.tmp', '');
 QuarantineFile('C:\Users\123\AppData\Roaming\daemon.exe', '');
 DeleteFile('C:\Users\123\AppData\Local\Amigo\Application\amigo.exe','32');
 DeleteFile('C:\Program Files\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
 DeleteFile('C:\Program Files\Ticno\Multibar\multibar.exe','32');
 DeleteFile('C:\Program Files\Obnovi Soft\ObnoviSoft.exe','32');
 DeleteFile('C:\Users\123\appdata\roaming\aspackage\aspackage.exe','32');
 DeleteFile('c:\program files\7a976020-1442220230-11d5-9eef-20cf30e1af6c\hnsdf1f4.tmp', '32');
 DeleteFile('c:\program files\7a976020-1442220230-11d5-9eef-20cf30e1af6c\knsc1d03.tmp', '32');
 DeleteFile('C:\Users\123\AppData\Roaming\daemon.exe', '32');
 DeleteService('fygulozy');
 DeleteService('gyvixodu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\amigo','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_11A12B044C514FDC5F7349351D1B1B83','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\multibar.exe','command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Обнови Софт','command');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','Shockwave Updater');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Daemon','command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы в верху или с помощью этой формы.
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Константин_74 · 24.09.2015, 13:28 **[ТС]**

AnyProtect не удаляется.

@Sandor · 24.09.2015, 13:47

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки отметьте:
- Сброс настроек Proxy
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Константин_74 · 24.09.2015, 17:02 **[ТС]**

Готово.

@Sandor · 24.09.2015, 20:12

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Code
start
CreateRestorePoint:
OPR Extension: (Razor Web) - C:\Users\123\AppData\Roaming\Opera Software\Opera Stable\Extensions\blfhibbjlemchbkeakalepkbadfjlbgg [2015-06-18]
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://www.mystartsearch.com/?type=sc&ts=1442488071&z=a4b6f17d47be69c41166c99g3z4z6obz2b9mbt2g5e&from=cmi&uid=HitachiXHDS721050CLA362_JPB521HF0M620H0M620HX
2015-09-17 17:08 - 2015-09-17 17:08 - 00613255 _____ (CMI Limited) C:\Users\123\AppData\Local\nsaAEA4.tmp
2015-09-17 14:31 - 2015-09-17 14:31 - 00613255 _____ (CMI Limited) C:\Users\123\AppData\Local\nsgC783.tmp
2015-09-14 14:50 - 2015-09-14 14:50 - 00000000 ____D C:\ProgramDataIObit
2015-09-14 14:48 - 2015-09-17 15:23 - 00000000 ____D C:\Users\Все пользователи\IObit
2015-09-14 14:48 - 2015-09-17 15:23 - 00000000 ____D C:\ProgramData\IObit
2015-09-14 14:48 - 2015-09-14 14:48 - 00000000 ____D C:\Windows\Tasks\ImCleanDisabled
2015-09-14 14:48 - 2015-09-14 14:48 - 00000000 ____D C:\Program Files\Common Files\IObit
2015-09-14 14:46 - 2015-09-17 15:22 - 00000000 ____D C:\Program Files\IObit
2015-09-14 14:45 - 2015-09-17 15:23 - 00000000 ____D C:\Users\123\AppData\Roaming\IObit
2015-09-14 14:45 - 2015-09-14 14:45 - 00000000 ___HD C:\Users\123\AppData\Roaming\GoldenGate
2015-09-14 14:45 - 2015-09-14 14:45 - 00000000 ____D C:\Users\123\Downloads\Torrentex
2015-09-14 14:43 - 2015-09-24 11:13 - 00000102 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-09-14 14:43 - 2015-09-24 11:13 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@Константин_74 · 25.09.2015, 05:35 **[ТС]**

Проблема ликвидирована.
AnyProtect - удален
Процессов *.tmp - нет

Все хорошо, Спасибо!

@Sandor · 25.09.2015, 10:05

В завершение:

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Константин_74 · 25.09.2015, 10:54 **[ТС]**

лог

@Sandor · 25.09.2015, 11:13

--------------------------------- [ IM ] ----------------------------------
Skype™ 7.10 v.7.10.101 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.0.0.10 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player 11.5 v.11.5.1.601 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.7.4.0.9058 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@Константин_74 · 25.09.2015, 11:44 **[ТС]**

Всё исправил.
Спасибо!

Буду сейчас переходить на Windows 10

@Sandor · 25.09.2015, 11:48

Удачи!

Новые блоги и статьи Все статьи Все блоги /
Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .	Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизита табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать контроль заполнения реквизита "ПричинаСписания". . .
wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/	Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных в справочнике через динамический список Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .	Программное заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	24.09.2015, 13:47
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). В меню Настройки отметьте: Сброс настроек Proxy Сброс политик IE Сброс политик Chrome Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	25.09.2015, 10:05
	В завершение: Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	25.09.2015, 11:13
	--------------------------------- [ IM ] ---------------------------------- Skype™ 7.10 v.7.10.101 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------- [ AppleProduction ] --------------------------- Bonjour v.3.0.0.10 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Shockwave Player 11.5 v.11.5.1.601 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Skype Click to Call v.7.4.0.9058 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. Прочтите и выполните Рекомендации после удаления вредоносного ПО 1

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	25.09.2015, 11:48
	Удачи! 0