Появились вирусы, спамы, реклама в браузерах, скрытая авто-установка сторонних программ

@Евгений042 · Регистрация: 04.11.2015

Author24 — интернет-сервис помощи студентам

после скачивания несуразного файла с интернета, компьютер заразился страным вирусом, постоянно скачиваются и устанавливаются в автоматическом и скрытном режиме различные программы, рекламного содержания и тд, все браузеры заражены, постоянно открываются окна с рекламой игр и прочего, ко всему этому более всего храмает хром, он практически не запускается и постоянно виснет, а на копмьютере появляется все больше и больше новых программ, не успеваю удалять...

@Sandor · 04.11.2015, 15:02

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Евгений042. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

CinemaP-1.9cV04.11
iWebar
Shopper-Pro
Software Version Updater
VKMusic 4
YTDownloader
Служба автоматического обновления программ

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\kbrowser utility\kbrowser-updater-utility.exe');
 TerminateProcessByName('c:\program files\iwebar\ec770894-53d4-4ead-a04a-adad38c69b07-1-6.exe');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe','');
 QuarantineFile('C:\Users\1\AppData\Local\Aplamhex.exe','');
 QuarantineFile('c:\programdata\kbrowser utility\kbrowser-updater-utility.exe','');
 QuarantineFile('c:\program files\iwebar\ec770894-53d4-4ead-a04a-adad38c69b07-1-6.exe','');
 QuarantineFile('C:\Program Files\30464336-1446539491-3130-3030-3841FFFFFFFF\hnsp8D9C.tmp', '');
 QuarantineFile('C:\Program Files\30464336-1446539491-3130-3030-3841FFFFFFFF\jnsu729B.tmp', '');
 QuarantineFile('C:\Program Files\30464336-1446539491-3130-3030-3841FFFFFFFF\knsz9C46.tmp', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\Nwrsrf.exe', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\J2Hu5vXd3.exe', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\newSI_42075\s_inst.exe', '');
 QuarantineFile('C:\Users\1\AppData\Roaming\190C.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk','');
 QuarantineFile('C:\ProgramData\KGSSiNCkTjF\jqqIehUhw3.bat','');
 DeleteFile('c:\program files\iwebar\ec770894-53d4-4ead-a04a-adad38c69b07-1-6.exe','32');
 DeleteFile('c:\programdata\kbrowser utility\kbrowser-updater-utility.exe','32');
 DeleteFile('C:\Users\1\AppData\Local\Aplamhex.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarGameBrowser.exe','32');
 DeleteFile('C:\Program Files\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Windows\Tasks\ec770894-53d4-4ead-a04a-adad38c69b07-7.job','32');
 DeleteFile('C:\ProgramData\KGSSiNCkTjF\jqqIehUhw3.bat','32');
 DeleteFile('C:\Program Files\30464336-1446539491-3130-3030-3841FFFFFFFF\hnsp8D9C.tmp', '32');
 DeleteFile('C:\Program Files\30464336-1446539491-3130-3030-3841FFFFFFFF\jnsu729B.tmp', '32');
 DeleteFile('C:\Program Files\30464336-1446539491-3130-3030-3841FFFFFFFF\knsz9C46.tmp', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\Nwrsrf.exe', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\J2Hu5vXd3.exe', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\newSI_42075\s_inst.exe', '32');
 DeleteFile('C:\Users\1\AppData\Roaming\190C.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "J2Hu5vXd3.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_42075.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "newSI_42075" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{9A2F9E07-C034-413B-981E-687C5DB0CBE0}" /F', 0, 15000, true);
 DeleteService('urhductproducoupd');
 DeleteService('fofolygu');
 DeleteService('kyricobe');
 DeleteService('senypyho');
 DeleteFileMask('C:\Users\1\AppData\Roaming\newSI_42075\', '*', true);
 DeleteDirectory('C:\Users\1\AppData\Roaming\newSI_42075\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarGameBrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Nwrsrf');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iqtfpybqnw');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Евгений042 · 04.11.2015, 16:22 **[ТС]**

отчет

@Евгений042 · 04.11.2015, 16:31 **[ТС]**

отчет adwclear весит больше допустимого, как его скинуть?

Добавлено через 48 секунд
Что делать, я не понимаю

@Sandor · 04.11.2015, 16:32

Упаковать (архиватором)

@Евгений042 · 04.11.2015, 16:34 **[ТС]**

вот

@Sandor · 04.11.2015, 16:44

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс настроек Proxy
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Евгений042 · 04.11.2015, 17:37 **[ТС]**

AdwCleaner[C1]

@Евгений042 · 04.11.2015, 17:44 **[ТС]**

FRST

@Sandor · 04.11.2015, 17:59

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Код

start
CreateRestorePoint:
Tcpip\..\Interfaces\{7E41E297-1EC9-4C0B-A2A5-1C0EAB86E99A}: [NameServer] 156.154.70.25,156.154.71.25
HKU\S-1-5-21-3353618947-3294287415-3830988703-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzQuOUH0XDeJry7HgaDl5jjizghICO30wS2thrUYAyC3z3l1Vf48NQK8BYDulhnVZT-_RaO8MsB5Pmmnfigr3DbC-nLzA0RMTjNRjop7wLGQ1V4vT_Ziruw0lbDkXcTE6K1w7pQG4dSjXqYS&q={searchTerms}
CHR Extension: (Pro Shopper) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfnggenhnoekmaipoignmncmiacnembl [2015-11-04]
OPR Extension: (iWebar) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\hdhmofnopkgkpgnpggloijpbnaonhplc [2015-11-04]
OPR Extension: (Opera Bookmarks Share Portal) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfgaibfbmkjgmimhbbaikfnpkkjkpoan [2015-11-04]
OPR Extension: (Opera Bookmarks Share Portal) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi [2015-11-04]
S2 Updater.Mail.Ru; C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X]
2015-11-03 20:42 - 2015-11-03 20:42 - 00000000 ____D C:\Users\Все пользователи\Bamcofs
2015-11-03 20:42 - 2015-11-03 20:42 - 00000000 ____D C:\ProgramData\Bamcofs
2015-11-03 20:41 - 2015-11-03 20:45 - 00000000 ____D C:\Users\Все пользователи\Bamcof
2015-11-03 20:41 - 2015-11-03 20:45 - 00000000 ____D C:\ProgramData\Bamcof
2015-11-03 20:41 - 2015-11-03 20:41 - 05595662 _____ C:\Program Files\Common Files\023t1305.exe
2015-11-03 20:40 - 2015-11-03 20:40 - 00000000 ____D C:\Program Files\Common Files\bhiuv3jo
2015-11-03 19:09 - 2015-11-03 19:11 - 00000000 ____D C:\Users\Все пользователи\QWMiniProQ
2015-11-03 19:09 - 2015-11-03 19:11 - 00000000 ____D C:\ProgramData\QWMiniProQ
2015-11-03 18:42 - 2015-11-03 18:42 - 00000000 ____D C:\Users\Все пользователи\ReJdLGEVabj
2015-11-03 18:42 - 2015-11-03 18:42 - 00000000 ____D C:\ProgramData\ReJdLGEVabj
2015-11-03 18:32 - 2015-11-03 18:33 - 00000000 ____D C:\Users\Все пользователи\9WMiniPro9
2015-11-03 18:32 - 2015-11-03 18:33 - 00000000 ____D C:\ProgramData\9WMiniPro9
2015-11-03 18:28 - 2015-11-03 18:28 - 00000187 _____ C:\Users\1\AppData\Local\Aplamhex.exe.config
2015-11-03 18:27 - 2015-11-03 18:27 - 00000000 ____D C:\Users\1\AppData\Local\Builder Diner
2015-11-03 18:20 - 2015-11-03 18:21 - 00000000 ____D C:\Users\Все пользователи\WWMiniProW
2015-11-03 18:20 - 2015-11-03 18:21 - 00000000 ____D C:\ProgramData\WWMiniProW
2015-11-03 17:57 - 2015-11-03 17:57 - 00000000 ____D C:\Users\Все пользователи\PIbenFFsY
2015-11-03 17:57 - 2015-11-03 17:57 - 00000000 ____D C:\ProgramData\PIbenFFsY
2015-11-03 16:07 - 2015-11-04 20:08 - 00000000 ____D C:\Users\Все пользователи\KGSSiNCkTjF
2015-11-03 16:07 - 2015-11-04 20:08 - 00000000 ____D C:\ProgramData\KGSSiNCkTjF
2015-11-03 16:07 - 2015-11-03 16:07 - 00000000 ____D C:\Users\Все пользователи\ezYkQWTdTACl
2015-11-03 16:07 - 2015-11-03 16:07 - 00000000 ____D C:\Users\Все пользователи\DjpTjdKgIojpns
2015-11-03 16:07 - 2015-11-03 16:07 - 00000000 ____D C:\Users\1\AppData\Local\GBxXkRmvWTbfAh
2015-11-03 16:07 - 2015-11-03 16:07 - 00000000 ____D C:\ProgramData\ezYkQWTdTACl
2015-11-03 16:07 - 2015-11-03 16:07 - 00000000 ____D C:\ProgramData\DjpTjdKgIojpns
2015-11-03 16:04 - 2015-11-03 16:05 - 00000000 ____D C:\Users\Все пользователи\1WMiniPro1
2015-11-03 16:04 - 2015-11-03 16:05 - 00000000 ____D C:\ProgramData\1WMiniPro1
2015-11-03 15:47 - 2015-11-03 19:09 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-03 15:47 - 2015-11-03 19:09 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-03 15:47 - 2015-11-03 15:49 - 00000000 ____D C:\Users\Все пользователи\JWMiniProJ
2015-11-03 15:47 - 2015-11-03 15:49 - 00000000 ____D C:\ProgramData\JWMiniProJ
2015-11-03 15:43 - 2015-11-03 15:43 - 00001990 _____ C:\Windows\Tasks\temp_70a2752d-b031-4a7d-876e-4d8db72c14e5-10_user.job
2015-11-03 13:52 - 2015-11-03 13:52 - 00000000 ____D C:\Users\1\AppData\Roaming\WindowsUpdater
globalupdate Helper (Version: 1.3.25.0 - globalupdate Inc.) Hidden <==== ATTENTION
Task: C:\Windows\Tasks\J2Hu5vXd3.job => C:\Users\1\AppData\Roaming\J2Hu5vXd3.exe <==== ATTENTION
Task: C:\Windows\Tasks\temp_70a2752d-b031-4a7d-876e-4d8db72c14e5-10_user.job => C:\Program Files\CinemaP-1.9cV02.11\70a2752d-b031-4a7d-876e-4d8db72c14e5-10.exe <==== ATTENTION
AlternateDataStreams: C:\Windows\system32\3eb0b5.exe:$CmdTcID
AlternateDataStreams: C:\Windows\system32\msvcr71.dll:$CmdTcID
AlternateDataStreams: C:\Users\1\Desktop\2012-10-11_22-46-13_893.mp4:.gltth
AlternateDataStreams: C:\Users\1\Desktop\adwcleaner_5.017.exe:$CmdTcID
AlternateDataStreams: C:\Users\1\Desktop\adwcleaner_5.017.exe:$CmdZnID
AlternateDataStreams: C:\Users\1\Desktop\AutoLogger.exe:$CmdTcID
AlternateDataStreams: C:\Users\1\Desktop\ClearLNK.exe:$CmdTcID
AlternateDataStreams: C:\Users\1\Desktop\FRST.exe:$CmdTcID
AlternateDataStreams: C:\Users\1\Desktop\FRST.exe:$CmdZnID
FirewallRules: [{DADD6DE2-6F4D-4649-A62B-177F0A66E3B5}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe
FirewallRules: [{991E78E3-8FB1-4CAB-864A-288C8F56BC30}] => (Allow) C:\Program Files\Ticno\Tabs\Ticno Tabs.exe
FirewallRules: [{B25E3165-0A76-4BFC-886E-3C670C8C018F}] => (Allow) C:\Users\1\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

В перечне установленных программ появится

globalupdate Helper

удалите.

Сообщите что с проблемой.

@Евгений042 · 04.11.2015, 20:52 **[ТС]**

fixlog

@Евгений042 · 04.11.2015, 20:58 **[ТС]**

globalupdate Helper удалил из панели задач, что дальше?

Добавлено через 3 минуты
хром до сих пор страдает, не страдает только опера, в хроме при открытие новых страниц вылазят сайты рекламы

@Sandor · 04.11.2015, 23:09

Отключите в Хроме все расширения. Перестанет "страдать", включайте по одному, пока не найдете виновника. Название сообщите.

@Евгений042 0 / 0 / 0 Регистрация: 04.11.2015 Сообщений: 8
	04.11.2015, 16:31 [ТС]	4
	отчет adwclear весит больше допустимого, как его скинуть? Добавлено через 48 секунд Что делать, я не понимаю 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	04.11.2015, 16:32	5
	Упаковать (архиватором) 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	04.11.2015, 16:44	7
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс настроек Proxy Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Евгений042 0 / 0 / 0 Регистрация: 04.11.2015 Сообщений: 8
	04.11.2015, 20:58 [ТС]	12
	globalupdate Helper удалил из панели задач, что дальше? Добавлено через 3 минуты хром до сих пор страдает, не страдает только опера, в хроме при открытие новых страниц вылазят сайты рекламы 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	04.11.2015, 23:09	13
	Отключите в Хроме все расширения. Перестанет "страдать", включайте по одному, пока не найдете виновника. Название сообщите. 0

Опции темы