Самоустанавливающиеся программы

@irishich · Регистрация: 13.12.2015

Студворк — интернет-сервис помощи студентам

Здравствуйте! Помогите, пожалуйста. Проблема, как у большинства, закрывается браузер, в этот момент устанавливаются программы, которые в программах и компонентах выглядят примерно так "istartpageing
compatible, web directory, opera stable, амиго". Появляются ярлыки на панели задач, меняется стартовая страница браузера.

@Sandor · 16.12.2015, 12:42

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя irishich. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\program files\dripkix\dripkix.exe');
 TerminateProcessByName('c:\program files\00000000-1449765887-0000-0000-00241d576128\hnsg5523.tmp');
 TerminateProcessByName('c:\program files\00000000-1449765887-0000-0000-00241d576128\jnsl2432.tmp');
 TerminateProcessByName('c:\program files\00000000-1449765887-0000-0000-00241d576128\knsp4b3f.tmp');
 TerminateProcessByName('c:\users\532b~1\appdata\local\temp\nss2727.tmp');
 StopService('WindowsMangerProtect');
 StopService('Dripkix');
 StopService('ginoquci');
 StopService('hywirypy');
 StopService('rizyqibe');
 QuarantineFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4043043572_monster.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 QuarantineFile('c:\program files\dripkix\dripkix.exe','');
 QuarantineFile('c:\program files\00000000-1449765887-0000-0000-00241d576128\hnsg5523.tmp', '');
 QuarantineFile('c:\program files\00000000-1449765887-0000-0000-00241d576128\jnsl2432.tmp', '');
 QuarantineFile('c:\program files\00000000-1449765887-0000-0000-00241d576128\knsp4b3f.tmp', '');
 QuarantineFile('c:\users\532b~1\appdata\local\temp\nss2727.tmp', '');
 QuarantineFile('C:\Users\Ирина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Ирина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk', '');
 QuarantineFile('C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
 QuarantineFile('C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
 QuarantineFile('C:\ProgramData\YQpROV\LQEeSMaxgWJW5.bat', '');
 QuarantineFile('C:\ProgramData\TTSWpFL\gfGXWQeloyNQ3.bat', '');
 QuarantineFileF('C:\ProgramData\YQpROV', '*', true, '', 0, 0);
 QuarantineFileF('C:\ProgramData\TTSWpFL', '*', true, '', 0, 0);
 DeleteFile('c:\program files\dripkix\dripkix.exe','32');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
 DeleteFile('C:\Users\Ирина\AppData\Local\Hostinstaller\4043043572_monster.exe','32');
 DeleteFile('c:\program files\00000000-1449765887-0000-0000-00241d576128\hnsg5523.tmp', '32');
 DeleteFile('c:\program files\00000000-1449765887-0000-0000-00241d576128\jnsl2432.tmp', '32');
 DeleteFile('c:\program files\00000000-1449765887-0000-0000-00241d576128\knsp4b3f.tmp', '32');
 DeleteFile('c:\users\532b~1\appdata\local\temp\nss2727.tmp', '32');
 DeleteFile('C:\ProgramData\YQpROV\LQEeSMaxgWJW5.bat', '');
 DeleteFile('C:\ProgramData\TTSWpFL\gfGXWQeloyNQ3.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Soft installer" /F', 0, 15000, true);
 DeleteService('WindowsMangerProtect');
 DeleteService('Dripkix');
 DeleteService('ginoquci');
 DeleteService('hywirypy');
 DeleteService('rizyqibe');
 DeleteFileMask('C:\ProgramData\YQpROV', '*', true);
 DeleteFileMask('C:\ProgramData\TTSWpFL', '*', true);
 DeleteDirectory('C:\ProgramData\YQpROV');
 DeleteDirectory('C:\ProgramData\TTSWpFL');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху или с помощью этой формы.
К сообщению прикреплять карантин не нужно!
Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте лог сканирования AdwCleaner.

@irishich · 16.12.2015, 19:59 **[ТС]**

Отчёт о работе

@irishich · 16.12.2015, 20:09 **[ТС]**

прикрепляю

@Sandor · 17.12.2015, 09:32

1.

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Настройки отметьте дополнительно:
- Сброс политик IE
- Сброс политик Chrome
Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

2.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@irishich · 17.12.2015, 19:52 **[ТС]**

Прикрепляю

@irishich · 17.12.2015, 20:02 **[ТС]**

Прикрепляю

@Sandor · 17.12.2015, 21:37

Через Панель управления - Удаление программ - удалите подозрительное ПО:

Christmas

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
CHR Extension: (Christmas) - C:\Users\Ирина\AppData\Local\Christmas\Component [2015-12-17]
CHR Extension: (Ball Video) - C:\Users\Ирина\AppData\Local\Ball Video\Component [2015-12-15]
S2 Updater.Mail.Ru; C:\Program Files\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X]
2015-12-15 22:17 - 2015-12-15 22:17 - 00000000 ____D C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2015-12-15 22:16 - 2015-12-15 22:16 - 00002202 _____ C:\Users\Ирина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
2015-12-15 22:16 - 2015-12-15 22:16 - 00002177 _____ C:\Users\Ирина\Desktop\Интернет.lnk
2015-12-15 22:13 - 2015-12-15 22:13 - 00000000 ____D C:\Users\Ирина\AppData\Local\Christmas
2015-12-14 21:43 - 2015-12-14 21:43 - 00000000 ____D C:\Users\Ирина\AppData\Local\Ball Video
2015-12-12 16:52 - 2015-12-12 16:52 - 00000000 ____D C:\Users\Все пользователи\gNIxPapuayNMunK
2015-12-12 16:52 - 2015-12-12 16:52 - 00000000 ____D C:\ProgramData\gNIxPapuayNMunK
2015-12-12 15:57 - 2015-12-12 15:57 - 00000000 ____D C:\Users\Все пользователи\sfCmBG
2015-12-12 15:57 - 2015-12-12 15:57 - 00000000 ____D C:\ProgramData\sfCmBG
2015-12-11 05:34 - 2015-12-11 05:34 - 00000000 ____D C:\Program Files\kingsoft
2015-12-11 05:34 - 2015-08-18 17:30 - 00232296 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\KSSafe.sys
2015-12-11 05:29 - 2015-12-11 05:29 - 00000000 ____D C:\Users\Все пользователи\pOfrXRmCjkxAfKM
2015-12-11 05:29 - 2015-12-11 05:29 - 00000000 ____D C:\ProgramData\pOfrXRmCjkxAfKM
2015-12-10 21:02 - 2015-12-10 21:02 - 00000000 ____D C:\Users\Все пользователи\StEmDq
2015-12-10 21:02 - 2015-12-10 21:02 - 00000000 ____D C:\ProgramData\StEmDq
2015-12-10 20:57 - 2015-12-10 20:57 - 00000000 ____D C:\Users\Все пользователи\hqhYfKOE
2015-12-10 20:57 - 2015-12-10 20:57 - 00000000 ____D C:\ProgramData\hqhYfKOE
2015-12-10 20:54 - 2015-12-11 05:34 - 00000000 ____D C:\Users\Ирина\AppData\Roaming\kingsoft
2015-12-10 20:49 - 2015-12-10 20:49 - 00000000 ____D C:\Users\Все пользователи\XACEpFtv
2015-12-10 20:49 - 2015-12-10 20:49 - 00000000 ____D C:\Users\Все пользователи\fLybcRXJuzbxLvW
2015-12-10 20:49 - 2015-12-10 20:49 - 00000000 ____D C:\ProgramData\XACEpFtv
2015-12-10 20:49 - 2015-12-10 20:49 - 00000000 ____D C:\ProgramData\fLybcRXJuzbxLvW
2015-12-10 20:32 - 2015-12-11 05:34 - 00000000 ____D C:\Users\Все пользователи\kingsoft
2015-12-10 20:32 - 2015-12-11 05:34 - 00000000 ____D C:\ProgramData\kingsoft
2015-12-10 20:31 - 2015-12-12 23:05 - 00000000 ____D C:\Program Files\baidu
2015-12-10 20:28 - 2015-12-10 20:28 - 00000187 _____ C:\Users\Ирина\AppData\Local\Latcore.exe.config
2015-12-10 20:24 - 2015-12-16 19:39 - 00000000 ____D C:\Users\Ирина\AppData\Local\Hostinstaller
2015-12-10 19:43 - 2015-12-10 19:43 - 00000000 ____D C:\Users\Все пользователи\slixXLYFBh
2015-12-10 19:43 - 2015-12-10 19:43 - 00000000 ____D C:\Users\Все пользователи\bbNVPCuZDAfBkc
2015-12-10 19:43 - 2015-12-10 19:43 - 00000000 ____D C:\ProgramData\slixXLYFBh
2015-12-10 19:43 - 2015-12-10 19:43 - 00000000 ____D C:\ProgramData\bbNVPCuZDAfBkc
Task: {99DAE422-9310-465A-9CA3-B865F18969D7} - System32\Tasks\Christmas => Rundll32.exe "C:\Users\Ирина\AppData\Local\Christmas\{6A49FBA8-3E6F-0CD1-9B52-64995C7B8C63}\Christmas.dll",#1 <==== ATTENTION
Task: {9EB2AB15-189A-471C-A966-5EF9ECB4907C} - System32\Tasks\Christmas2 => Rundll32.exe "C:\Users\Ирина\AppData\Local\Christmas\{6A49FBA8-3E6F-0CD1-9B52-64995C7B8C63}\qpfl.dll",#1 <==== ATTENTION
AlternateDataStreams: C:\Windows:nlsPreferences
FirewallRules: [{8D18D4F4-2C98-4605-B13D-61271D4D9F61}] => (Allow) C:\Users\Ирина\AppData\Local\Amigo\Application\amigo.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Сообщите что с проблемой.

@irishich · 17.12.2015, 22:16 **[ТС]**

Мне кажется, проблема решена, от программ остались только пустые ярлыки.
Огромная благодарность!!!!!

@Sandor · 18.12.2015, 09:44

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

2.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@irishich · 18.12.2015, 19:51 **[ТС]**

Прикрепляю

@Sandor · 18.12.2015, 21:54

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (32-bit) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.16 v.7.16.102 Внимание! Скачать обновления
^Необязательное обновление.^

Прочтите и выполните Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	17.12.2015, 09:32
	1. Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Настройки отметьте дополнительно: Сброс политик IE Сброс политик Chrome Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите. 2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	18.12.2015, 09:44
	Завершаем: 1. Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. 2. Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22453 / 15907 / 3080 Регистрация: 08.10.2012 Сообщений: 64,822
	18.12.2015, 21:54
	------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20 (32-bit) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.16 v.7.16.102 Внимание! Скачать обновления *^Необязательное обновление.^* Прочтите и выполните Рекомендации после удаления вредоносного ПО 0