Вирус устанавливает приложения и меняет настройки браузеров

@Programmit · Регистрация: 05.02.2013

Студворк — интернет-сервис помощи студентам

magirus · 12.11.2015, 22:10

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Programmit · 13.11.2015, 00:12 **[ТС]**

вот лог

@Sandor · 13.11.2015, 23:29

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Programmit. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Два антивируса - много:

AV: Kaspersky Small Office Security 3
AV: avast! Antivirus (отключено)

Оставьте один, второй удалите.
Чистка системы после некорректного удаления антивируса

Через Панель управления - Удаление программ - удалите нежелательное ПО:

GamesDesktop 033.005010142
GamesDesktop 033.005010144

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe');
 TerminateProcessByName('c:\users\lenovo\appdata\local\gmsd_ru_005010144\upgmsd_ru_005010144.exe');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '');
 QuarantineFile('c:\users\lenovo\appdata\local\gmsd_ru_005010144\upgmsd_ru_005010144.exe', '');
 QuarantineFile('C:\Users\Lenovo\AppData\Local\9F2452CE-1446586563-114A-9162-40167E8CD129\qnsi4D66.tmp', '');
 QuarantineFile('C:\Program Files (x86)\9F2452CE-1446562281-114A-9162-40167E8CD129\jnsa35AB.tmp', '');
 QuarantineFile('C:\Program Files (x86)\9F2452CE-1446562281-114A-9162-40167E8CD129\hnsu4E55.tmp', '');
 QuarantineFile('C:\Program Files (x86)\9F2452CE-1446562281-114A-9162-40167E8CD129\knsmD1D6.tmp', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010144\gmsd_ru_005010144.exe', '');
 QuarantineFile('C:\Users\Lenovo\AppData\Roaming\cyQLMeGEl5kIodsOnUtshQF.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "cyQLMeGEl5kIodsOnUtshQF.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "cyQLMeGEl5kIodsOnUtshQF" /F', 0, 15000, true);
 DeleteFile('c:\program files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '32');
 DeleteFile('c:\users\lenovo\appdata\local\gmsd_ru_005010144\upgmsd_ru_005010144.exe', '32');
 DeleteFile('C:\Users\Lenovo\AppData\Local\9F2452CE-1446586563-114A-9162-40167E8CD129\qnsi4D66.tmp', '32');
 DeleteFile('C:\Program Files (x86)\9F2452CE-1446562281-114A-9162-40167E8CD129\jnsa35AB.tmp', '32');
 DeleteFile('C:\Program Files (x86)\9F2452CE-1446562281-114A-9162-40167E8CD129\hnsu4E55.tmp', '32');
 DeleteFile('C:\Program Files (x86)\9F2452CE-1446562281-114A-9162-40167E8CD129\knsmD1D6.tmp', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010144\gmsd_ru_005010144.exe', '32');
 DeleteFile('C:\Users\Lenovo\AppData\Roaming\cyQLMeGEl5kIodsOnUtshQF.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010142');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010144');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010144.exe');
 DeleteService('hidekoqe');
 DeleteService('qopyvoko');
 DeleteService('vofomumo');
 DeleteService('xohihuvy');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@Programmit · 16.11.2015, 21:54 **[ТС]**

Высылаю

@Sandor · 17.11.2015, 09:48

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Programmit · 18.11.2015, 17:04 **[ТС]**

Вот отчеты

@Sandor · 18.11.2015, 17:12

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
HKLM\...\Run: [SpaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKU\S-1-5-21-672013834-749293329-2845451348-1002\...\Run: [coupondo] => "C:\Users\Lenovo\AppData\Local\coupondo\coupondo_stb.exe" /run "C:\Users\Lenovo\AppData\Local\coupondo\config.json"
SearchScopes: HKLM -> DefaultScope {8288BA75-11E0-4634-9DB4-7E7D2941CB67} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=36CCB2ED-D2D8-431A-B638-E08E463252E6&pid=500&query={searchTerms}&sc=ie
SearchScopes: HKLM -> {8288BA75-11E0-4634-9DB4-7E7D2941CB67} URL = hxxp://rusearcher.com/search.php?us=searcher&pcid=36CCB2ED-D2D8-431A-B638-E08E463252E6&pid=500&query={searchTerms}&sc=ie
OPR Extension: (coupondo) - C:\Users\Lenovo\AppData\Roaming\Opera Software\Opera Stable\Extensions\ikihdpjgbomalcdgfdbkeodegggogdfk [2015-11-03]
2015-11-11 23:12 - 2015-11-12 23:12 - 00000098 _____ C:\Users\Все пользователи\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-11-11 23:12 - 2015-11-12 23:12 - 00000098 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-04-19 18:20 - 2015-04-19 18:20 - 0005872 _____ () C:\Users\Lenovo\AppData\Roaming\cyQLMeGEl5kIodsOnUtshQF
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@Programmit · 18.11.2015, 19:05 **[ТС]**

Браузер перестал скачивать лишние программы, но левые страницы все равно открывает

@Sandor · 18.11.2015, 22:54

Сообщение от Programmit

левые страницы все равно открывает

Какой именно? Проверьте в IE, скачайте Портативный браузер и в нем тоже проверьте.

Новые блоги и статьи Все статьи Все блоги /
Оттенки серого Argus19 18.03.2026 Оттенки серого Нашёл в интернете 3 прекрасных модуля: Модуль класса открытия диалога открытия/ сохранения файла на Win32 API; Модуль класса быстрого перекодирования цветного изображения в оттенки. . .	SDL3 для Desktop (MinGW): Рисуем цветные прямоугольники с помощью рисовальщика SDL3 на Си и C++ 8Observer8 17.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-rectangles-sdl3-c. zip finish-rectangles-sdl3-cpp. zip	Символические и жёсткие ссылки в Linux. algri14 15.03.2026 Существует два типа ссылок — символические и жёсткие. Ссылка в Linux — это запись в каталоге, которая может указывать либо на inode «файла-ИСТОЧНИКА», тогда это будет «жёсткая ссылка» (hard link),. . .	[Owen Logic] Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ФедосеевПавел 14.03.2026 Поддержание уровня воды в резервуаре количеством включённых насосов: моделирование и выбор регулятора ВВЕДЕНИЕ Выполняя задание на управление насосной группой заполнения резервуара,. . .
делаю науч статью по влиянию грибов на сукцессию anaschu 13.03.2026 прикрепляю статью	SDL3 для Desktop (MinGW): Создаём пустое окно с нуля для 2D-графики на SDL3, Си и C++ 8Observer8 10.03.2026 Содержание блога Финальные проекты на Си и на C++: hello-sdl3-c. zip hello-sdl3-cpp. zip Результат:	Установка CMake и MinGW 13.1 для сборки С и C++ приложений из консоли и из Qt Creator в EXE 8Observer8 10.03.2026 Содержание блога MinGW - это коллекция инструментов для сборки приложений в EXE. CMake - это система сборки приложений. Здесь описаны базовые шаги для старта программирования с помощью CMake и. . .	Как дизайн сайта влияет на конверсию: 7 решений, которые реально повышают заявки Neotwalker 08.03.2026 Многие до сих пор воспринимают дизайн сайта как “красивую оболочку”. На практике всё иначе: дизайн напрямую влияет на то, оставит человек заявку или уйдёт через несколько секунд. Даже если у вас. . .

magirus Почетный модератор 28049 / 15785 / 983 Регистрация: 15.09.2009 Сообщений: 67,752 Записей в блоге: 78
	12.11.2015, 22:10
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Sandor 22475 / 15925 / 3084 Регистрация: 08.10.2012 Сообщений: 64,878
	17.11.2015, 09:48
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0