После установки (псевдо)эмулятора Ардуино начались тихие установки программ и замена страницы поиска

@56head · Регистрация: 07.12.2013

Студворк — интернет-сервис помощи студентам

Добрый вечер!
Ситуация близкая к предыдущим случаям. Без моего ведома устанавливаются игровые приложения, браузеры. Стартовая страница меняется на мутный поисковик. После лечения системы аварийным приложением Доктор Веб программы не стали так активно устанавливаться, но после каждой перезагрузки несколько минут держится чёрный экран и маленькое окно с периодически меняющимися сообщениями "Изменение проигрывателя", "Подготовка нового вида рабочего стола" и т. д. Также после перезагрузки стабильно в качестве стартовой страницы самоназначается сомнительный поисковик.
Прошу помочь.

@thyrex · 08.11.2015, 11:25

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\raydld\ihpmserver.exe');
 SetServiceStart('ihpmServer', 4);
 QuarantineFile('C:\Users\Анатолий\AppData\Local\Extension Kingdom\xBin\ExtensionKingdom.dll','');
 QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\Crossbrowse.exe','');
 QuarantineFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe','');
  QuarantineFile('C:\Program Files (x86)\FA72EBFA-1446906288-E311-A352-201A061E31AD\knsg2257.tmpfs','');
 QuarantineFile('C:\Program Files (x86)\FA72EBFA-1446906288-E311-A352-201A061E31AD\hnso5AC5.tmp','');
 QuarantineFile('C:\Program Files (x86)\FA72EBFA-1446906288-E311-A352-201A061E31AD\jnsi3F6B.tmp','');
 QuarantineFile('c:\program files (x86)\raydld\ihpmserver.exe','');
 DeleteFile('c:\program files (x86)\raydld\ihpmserver.exe','32');
 DeleteFile('C:\Program Files (x86)\FA72EBFA-1446906288-E311-A352-201A061E31AD\jnsi3F6B.tmp','32');
 DeleteFile('C:\Program Files (x86)\FA72EBFA-1446906288-E311-A352-201A061E31AD\hnso5AC5.tmp','32');
 DeleteFile('C:\Program Files (x86)\FA72EBFA-1446906288-E311-A352-201A061E31AD\knsg2257.tmpfs','32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe','32');
 DeleteFile('C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe','32');
 DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\Crossbrowse.exe','32');
 DeleteFile('C:\WINDOWS\Tasks\7KRK7yQRHveX73ncgS6T.job','32');
 DeleteFile('C:\WINDOWS\Tasks\AAawUndEblGFgvDGi8dOW.job','32');
 DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job','32');
 DeleteFile('C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job','32');
 DeleteFile('C:\WINDOWS\system32\Tasks\globalUpdateUpdateTaskMachineCore','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\globalUpdateUpdateTaskMachineUA','64');
DeleteService('videvupe');
 DeleteService('nypunury');
 DeleteService('lukiryze');
 DeleteService('ihpmServer');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Timestasks');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы. В случае появления ошибки отправьте файл с помощью этой формы.

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

http://dragokas.com/tools/move.gif

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

@56head · 08.11.2015, 12:52 **[ТС]**

Лог ClearLNK

@56head · 08.11.2015, 13:13 **[ТС]**

Новые логи AutoLogger

@56head · 09.11.2015, 10:38 **[ТС]**

Подскажите, компьютер вылечен?

Добавлено через 11 часов 16 минут
Некоторые симптомы остались.
Например, в браузере всплывают периодически рекламные окна и маленькие окна около курсора.

@56head · 09.11.2015, 20:27 **[ТС]**

После лечения остались некоторые симптомы. Помогите, пожалуйста.

@Sandor · 10.11.2015, 18:02

56head, это тот же компьютер?

@56head · 10.11.2015, 18:37 **[ТС]**

Да, тот же самый

Добавлено через 22 минуты
Аваст при каждой загрузке удаляет extensions kingdom.
Но после очередного удаления он появляется вновь.

@thyrex · 11.11.2015, 06:32

Сделайте лог МВАМ

@56head · 12.11.2015, 18:42 **[ТС]**

MBAM сканировал весь день. Лог прилагаю.

Добавлено через 1 минуту
Лог

@56head · 12.11.2015, 18:44 **[ТС]**

Виден ли лог?

@56head · 22.11.2015, 15:52 **[ТС]**

Подскажите, комп будет жить?.. Или всё так безнадёжно?..

@Sandor · 22.11.2015, 19:08

Если уже закрыли MBAM, повторите сканирование и удалите все, кроме:

Файлы:
Trojan.Upatre, C:\distributiv\Foxit PDF Editor 2.2.1.1119 Rus\Foxit PDF Editor Portable\PDFEdit.exe, , [0bb9bebefd8e7fb7a5e79ba9966eea16],
HackTool.Agent, C:\distributiv\Komas-3D V13 (x32,x64)\KOMPAS-3D_V13_antiHASP_v1.0.exe, , [a81c8cf0c6c579bd9acd7c8afa065ba5],

@56head · 28.11.2015, 23:01 **[ТС]**

Спасибо!
Посторонние включения изчезли.

@thyrex · 29.11.2015, 20:36

Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

@56head · 30.11.2015, 09:25 **[ТС]**

Файлы прилагаю

@thyrex · 01.12.2015, 21:54

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Code
1
2
3
4
5
6
7
8
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3335181012-1608773936-2435640111-1002_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> no filepath
CustomCLSID: HKU\S-1-5-21-3335181012-1608773936-2435640111-1002_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> no filepath
Task: {9903344B-AB87-43BE-B24B-FA3FAC3A00CA} - System32\Tasks\Extension Kingdom => Rundll32.exe "C:\Users\Анатолий\AppData\Local\Extension Kingdom\xBin\ExtensionKingdom.dll",#3 <==== ATTENTION
Task: {9ED02EE3-8695-4E64-BF77-2E739D78BE2F} - \brbrw_2109 -> No File <==== ATTENTION
2015-04-19 17:20 - 2015-04-19 17:20 - 0005872 _____ () C:\Users\Анатолий\AppData\Roaming\7KRK7yQRHveX73ncgS6T
2015-04-14 21:28 - 2015-04-14 21:28 - 0004387 _____ () C:\Users\Анатолий\AppData\Roaming\AAawUndEblGFgvDGi8dOW
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Обратите внимание, что компьютер будет перезагружен.

@56head · 02.12.2015, 09:06 **[ТС]**

Файл прилагаю

Новые блоги и статьи Все статьи Все блоги /
Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .
Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025

@56head 0 / 0 / 0 Регистрация: 07.12.2013 Сообщений: 24
	09.11.2015, 10:38 [ТС]
	Подскажите, компьютер вылечен? Добавлено через 11 часов 16 минут Некоторые симптомы остались. Например, в браузере всплывают периодически рекламные окна и маленькие окна около курсора. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	10.11.2015, 18:02
	56head, это тот же компьютер? 0

@56head 0 / 0 / 0 Регистрация: 07.12.2013 Сообщений: 24
	10.11.2015, 18:37 [ТС]
	Да, тот же самый Добавлено через 22 минуты Аваст при каждой загрузке удаляет extensions kingdom. Но после очередного удаления он появляется вновь. 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	11.11.2015, 06:32
	Сделайте лог МВАМ 0

@56head 0 / 0 / 0 Регистрация: 07.12.2013 Сообщений: 24
	12.11.2015, 18:42 [ТС]
	MBAM сканировал весь день. Лог прилагаю. Добавлено через 1 минуту Лог 0

@56head 0 / 0 / 0 Регистрация: 07.12.2013 Сообщений: 24
	22.11.2015, 15:52 [ТС]
	Подскажите, комп будет жить?.. Или всё так безнадёжно?.. 0

@56head 0 / 0 / 0 Регистрация: 07.12.2013 Сообщений: 24
	28.11.2015, 23:01 [ТС]
	Спасибо! Посторонние включения изчезли. 0

@thyrex 14432 / 7474 / 1579 Регистрация: 06.09.2009 Сообщений: 27,111
	29.11.2015, 20:36
	Скачайте Farbar Recovery Scan Tool [img]http://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]http://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt**). Пожалуйста, и его тоже прикрепите в следующем сообщении. 0