Несколько раз в день самопроизвольно устанавливаются программы

@AntonLukianov · Регистрация: 17.11.2015

Author24 — интернет-сервис помощи студентам

Доброго дня!
нужна помощь, с некоторого момента стали самопроизвольно устанавливаться программы, параллельно с этим в браузере (гугл хром) самостоятельно открывается закладка с рекламой (даже если браузер был выключен), принудительное удаление в программах и компонентах результата не приносит, сканирование антивирусными программами угроз не обнаруживает
спасибо!

@Sandor · 17.11.2015, 15:41

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя AntonLukianov. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\804bddd0-1433243674-11e3-ba91-3c077168c9ec\knsnb223.tmp');
 TerminateProcessByName('c:\users\a1a65~1.luk\appdata\local\temp\nsgcbcb.tmp');
 StopService('ginoquci');
 StopService('wifigebe');
 QuarantineFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','');
 QuarantineFile('C:\Users\a.lukianov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Аpplе Sаfаri.lnk','');
 QuarantineFile('C:\Users\Public\Desktop\Sаfаri.lnk','');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sаfаri.lnk','');
 QuarantineFile('c:\program files (x86)\804bddd0-1433243674-11e3-ba91-3c077168c9ec\knsnb223.tmp', '');
 QuarantineFile('c:\users\a1a65~1.luk\appdata\local\temp\nsgcbcb.tmp', '');
 DeleteFile('C:\Windows\system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}Gw64.sys','32');
 DeleteFile('C:\Users\Public\Desktop\Sаfаri.lnk','32');
 DeleteFile('C:\Users\a.lukianov\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Аpplе Sаfаri.lnk','32');
 DeleteFile('c:\program files (x86)\804bddd0-1433243674-11e3-ba91-3c077168c9ec\knsnb223.tmp', '32');
 DeleteFile('c:\users\a1a65~1.luk\appdata\local\temp\nsgcbcb.tmp', '32');
 DeleteService('{5eeb83d0-96ea-4249-942c-beead6847053}Gw64');
 DeleteService('ginoquci');
 DeleteService('wifigebe');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Подготовьте лог сканирования AdwCleaner.

@AntonLukianov · 17.11.2015, 17:28 **[ТС]**

лог сканирования AdwCleaner

@Sandor · 17.11.2015, 17:34

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Затем:
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@AntonLukianov · 18.11.2015, 09:57 **[ТС]**

вот отчеты, надеюсь все правильно сделал )

@Sandor · 18.11.2015, 10:11

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file

start
CreateRestorePoint:
HKU\S-1-5-21-1421203435-878442750-3741780695-1001\...\Run: [amigo] => 0
CHR HKU\S-1-5-21-1421203435-878442750-3741780695-1002\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKU\S-1-5-21-1421203435-878442750-3741780695-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=82cd156e67a1eb4018bf5d6096b67dd9&text={searchTerms}
HKU\S-1-5-21-1421203435-878442750-3741780695-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=82cd156e67a1eb4018bf5d6096b67dd9&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1421203435-878442750-3741780695-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=82cd156e67a1eb4018bf5d6096b67dd9&text={searchTerms}
SearchScopes: HKU\S-1-5-21-1421203435-878442750-3741780695-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=82cd156e67a1eb4018bf5d6096b67dd9&text=
OPR Extension: (SuperMegaBest - find best prices) - C:\Users\a.lukianov\AppData\Roaming\Opera Software\Opera Stable\Extensions\cbbpicnbcjaeeenbmilcnaojfgnmlhhb [2015-06-08]
OPR Extension: (NetFilterPRO) - C:\Users\a.lukianov\AppData\Roaming\Opera Software\Opera Stable\Extensions\cfmnkhhioonhiehehedmnjibmampjiab [2015-07-15]
OPR Extension: (GetHat ) - C:\Users\a.lukianov\AppData\Roaming\Opera Software\Opera Stable\Extensions\fjnbnpbmkenffdnngjfgmeleoegfcffe [2015-06-02]
S1 {5eeb83d0-96ea-4249-942c-beead6847053}w64; system32\drivers\{5eeb83d0-96ea-4249-942c-beead6847053}w64.sys [X]
Task: {867AF4BA-FEE5-4918-91B3-765C331C2431} - System32\Tasks\Driver Booster SkipUAC (a.lukianov) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {F7D81E2A-0D65-468A-AD2C-898CE1CAF2AC} - System32\Tasks\{D5BD15E3-89E5-41CE-A027-7E6D9595066C} => pcalua.exe -a C:\Users\a.lukianov\Downloads\7z920.exe -d C:\Users\a.lukianov\Downloads
Task: {FB85DEAC-A198-436E-9B2F-6EE376015D6A} - System32\Tasks\Uninstaller_SkipUac_a.lukianov => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: C:\Windows\Tasks\Uninstaller_SkipUac_a.lukianov.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe/UninstallExplorerLYKIANOV\a.luk
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@AntonLukianov · 18.11.2015, 12:07 **[ТС]**

Добрый день! За прошедшие два часа проявлений, описанных в первом сообщений не выявлено, еще помониторю, если будут изменения отпишусь

@Sandor · 18.11.2015, 12:21

Хорошо. Пока наблюдаете:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@AntonLukianov · 18.11.2015, 14:26 **[ТС]**

Отчет прилагаю. До сих пор проблем пока не возникало

@Sandor · 18.11.2015, 14:33

--------------------------------- [ IM ] ----------------------------------
Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 67 (64-bit) v.7.0.670 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-x64.exe^
Java 7 Update 45 v.7.0.450 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8
^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.1.1.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.10) MUI v.11.0.10 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@AntonLukianov · 19.11.2015, 09:29 **[ТС]**

обновления установил, проблема снова не обозначалась, спасибо за помощь!

@Sandor · 19.11.2015, 09:34

Удачи!

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	17.11.2015, 17:34	4
	Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Затем: Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	18.11.2015, 12:21	8
	Хорошо. Пока наблюдаете: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	18.11.2015, 14:33	10
	--------------------------------- [ IM ] ---------------------------------- Skype™ 7.6 v.7.6.105 Внимание! Скачать обновления *^Необязательное обновление.^* -------------------------------- [ Java ] --------------------------------- Java 7 Update 67 (64-bit) v.7.0.670 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8 ^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-x64.exe^ Java 7 Update 45 v.7.0.450 Внимание! Скачать обновления Внимание! Данная версия содержит уязвимость нулевого дня! Рекомендуется деинсталлировать Java версий 6 и 7, скачать и установить Java 8 ^Если Ваша система не поддерживает Java 8, удалите старую версию и скачайте по ссылке выше jre-7u80-windows-i586.exe^ --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.1.1.4 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.10) MUI v.11.0.10 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Прочтите и выполните Рекомендации после удаления вредоносного ПО 1

@AntonLukianov 0 / 0 / 0 Регистрация: 17.11.2015 Сообщений: 6
	19.11.2015, 09:29 [ТС]	11
	обновления установил, проблема снова не обозначалась, спасибо за помощь! 0

@Sandor 21562 / 15512 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	19.11.2015, 09:34	12
	Удачи! 0