Вирус автоматически устанавливает многочисленное количество программ

@miha73 · Регистрация: 15.11.2015

Студворк — интернет-сервис помощи студентам

Доброго времени суток, уважаемые специалисты. Подцепил вирус, при включении компьютера который начинает установку различных программ, антивирус не справляется.
Сильно грузится ЦП. Также при запуске браузера открывается начальная страница с посторонним сайтом.

@miha73 · 15.11.2015, 19:04 **[ТС]**

Помогите пожалуйста

Добавлено через 12 минут
Проблема точно такая же как и здесь:
Вирус устанавливает различное ПО и периодически запускает браузер со страничками рекламного характера

@Sandor · 16.11.2015, 16:24

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя miha73. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Через Панель управления - Удаление программ - удалите нежелательное ПО:

GamesDesktop 033.005010146
groover
SmartWeb
Software Version Updater
SwiftSearch 1.10.0.25

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('C:\Program Files\groover121120151836\Wodfuhb64.exe');
 TerminateProcessByName('c:\program files\groover121120151836\wodfuhb.exe');
 TerminateProcessByName('c:\program files\groover121120151836\tedxukakn.exe');
 TerminateProcessByName('c:\program files\groover121120151836\sosobae.exe');
 TerminateProcessByName('c:\program files\groover121120151836\nuyedf.exe');
 TerminateProcessByName('c:\program files\groover121120151836\aoigu.exe');
 TerminateProcessByName('c:\users\xperi\appdata\local\temp\nsyc536.tmp');
 TerminateProcessByName('c:\users\xperi\appdata\local\00da1460-1447592900-11dd-b186-002215fdad62\qnsa3118.tmp');
 TerminateProcessByName('c:\users\xperi\appdata\local\gmsd_ru_005010146\upgmsd_ru_005010146.exe');
 StopService('SevbiIooh');
 StopService('Nuyedf');
 StopService('groover121120151836 Updater');
 StopService('csrcc');
 StopService('B27A1396-7756-4BD6-8369-DEE69179FFFC');
 StopService('ginoquci');
 StopService('hidekoqe');
 QuarantineFile('C:\Users\xperi\AppData\Roaming\WindowsUpdater\Updater.exe','');
 QuarantineFile('C:\Users\xperi\AppData\Local\hostskidki\config.json','');
 QuarantineFile('C:\Users\xperi\AppData\Local\coprofit\config.json','');
 QuarantineFile('C:\Users\xperi\AppData\Local\coprofit\coprofit_stb.exe','');
 QuarantineFile('C:\Users\xperi\AppData\Local\moreskidki\config.json','');
 QuarantineFile('C:\Users\xperi\AppData\Local\moreskidki\stub.exe','');
 QuarantineFile('C:\Program Files (x86)\rec_en_77\rec_en_77.exe','');
 QuarantineFile('C:\Program Files\groover121120151836\csrcc.exe','');
 QuarantineFile('C:\Program Files\groover121120151836\Wodfuhb64.exe','');
 QuarantineFile('c:\program files\groover121120151836\tedxukakn.exe','');
 QuarantineFile('c:\program files\groover121120151836\sosobae.exe','');
 QuarantineFile('c:\program files\groover121120151836\nuyedf.exe','');
 QuarantineFile('c:\program files\groover121120151836\aoigu.exe','');
 QuarantineFile('c:\users\xperi\appdata\local\temp\nsyc536.tmp', '');
 QuarantineFile('c:\users\xperi\appdata\local\00da1460-1447592900-11dd-b186-002215fdad62\qnsa3118.tmp', '');
 QuarantineFile('c:\users\xperi\appdata\local\gmsd_ru_005010146\upgmsd_ru_005010146.exe', '');
 QuarantineFile('C:\Program Files (x86)\00DA1460-1447533712-11DD-B186-002215FDAD62\jnsvA99F.tmp', '');
 QuarantineFile('C:\Program Files (x86)\00DA1460-1447533712-11DD-B186-002215FDAD62\hnsqAC9C.tmp', '');
 QuarantineFile('C:\Program Files (x86)\00DA1460-1447533712-11DD-B186-002215FDAD62\knse40EA.tmp', '');
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010146\gmsd_ru_005010146.exe', '');
 QuarantineFile('C:\Program Files (x86)\SpaceSondPro_v53.9068\ioproduct_service.bat', '');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 QuarantineFile('C:\Users\xperi\AppData\Roaming\5PsQ1OxLnHPJMsYYjnQUhiyo.exe', '');
 QuarantineFile('C:\PROGRA~1\GROOVE~1\Rukdof.bat', '');
 DeleteFile('c:\program files\groover121120151836\aoigu.exe','32');
 DeleteFile('c:\program files\groover121120151836\nuyedf.exe','32');
 DeleteFile('c:\program files\groover121120151836\sosobae.exe','32');
 DeleteFile('C:\Program Files\groover121120151836\Wodfuhb64.exe','32');
 DeleteFile('C:\Program Files\groover121120151836\csrcc.exe','32');
 DeleteFile('C:\Program Files\groover121120151836\TedxuKakn.exe','32');
 DeleteFile('C:\Program Files (x86)\rec_en_77\rec_en_77.exe','32');
 DeleteFile('C:\Users\xperi\AppData\Local\moreskidki\stub.exe','32');
 DeleteFile('C:\Users\xperi\AppData\Local\moreskidki\config.json','32');
 DeleteFile('C:\Users\xperi\AppData\Local\coprofit\coprofit_stb.exe','32');
 DeleteFile('C:\Users\xperi\AppData\Local\coprofit\config.json','32');
 DeleteFile('C:\Users\xperi\AppData\Local\hostskidki\config.json','32');
 DeleteFile('C:\Users\xperi\AppData\Roaming\WindowsUpdater\Updater.exe','32');
 DeleteFile('c:\users\xperi\appdata\local\temp\nsyc536.tmp', '32');
 DeleteFile('c:\users\xperi\appdata\local\00da1460-1447592900-11dd-b186-002215fdad62\qnsa3118.tmp', '32');
 DeleteFile('c:\users\xperi\appdata\local\gmsd_ru_005010146\upgmsd_ru_005010146.exe', '32');
 DeleteFile('C:\Program Files (x86)\00DA1460-1447533712-11DD-B186-002215FDAD62\jnsvA99F.tmp', '32');
 DeleteFile('C:\Program Files (x86)\00DA1460-1447533712-11DD-B186-002215FDAD62\hnsqAC9C.tmp', '32');
 DeleteFile('C:\Program Files (x86)\00DA1460-1447533712-11DD-B186-002215FDAD62\knse40EA.tmp', '32');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010146\gmsd_ru_005010146.exe', '32');
 DeleteFile('C:\Program Files (x86)\SpaceSondPro_v53.9068\ioproduct_service.bat', '32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
 DeleteFile('C:\Users\xperi\AppData\Roaming\5PsQ1OxLnHPJMsYYjnQUhiyo.exe', '32');
 DeleteFile('C:\PROGRA~1\GROOVE~1\Rukdof.bat', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "5PsQ1OxLnHPJMsYYjnQUhiyo.job" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "5PsQ1OxLnHPJMsYYjnQUhiyo" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Nuppobc" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
 DeleteService('SevbiIooh');
 DeleteService('Nuyedf');
 DeleteService('groover121120151836 Updater');
 DeleteService('csrcc');
 DeleteService('B27A1396-7756-4BD6-8369-DEE69179FFFC');
 DeleteService('ginoquci');
 DeleteService('hidekoqe');
 DeleteService('citevebo');
 DeleteService('piromemi');
 DeleteService('zuvihuhu');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','rec_en_77');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','moreskidki');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','coprofit');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010146');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','IOPROTECT');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010146.exe');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@miha73 0 / 0 / 0 Регистрация: 15.11.2015 Сообщений: 2
	15.11.2015, 19:04 [ТС]
	Помогите пожалуйста Добавлено через 12 минут Проблема точно такая же как и здесь: Вирус устанавливает различное ПО и периодически запускает браузер со страничками рекламного характера 0