Периодическая автоматическая установка программ в фоновом режиме

@mabean · Регистрация: 31.01.2016

Студворк — интернет-сервис помощи студентам

Доброго времени суток!

Сразу хочу сказать, что считаю себя весьма продвинутым пользователем, кем не является моя девушка, которую я подпустил к компьютеру буквально на пару минут. Видимо, ей удалось скачать вместе с сомнительным торрент-файлом еще и до ужаса живучую заразу, которая пробуждается словно феникс несколько раз в неделю все время в новом обличье.

Начиналось все с чего-то до боли похожего на Байду, с которой приходилось сталкиваться раньше. Я, будучи сведущ в работе с китайскими деинсталяторами, расправился сначала с ним, а потом, используя силу диспетчера задач и Revo unistaller. Казалось бы все на этом закончилось, однако через день я обнаружил, что на мой компьютер решили установится совершенно новые программы, в составе которых конечно же был IObit и иже с ними. На этом раз я решил уже воспользоваться гуглом. Немного покопавшись нашел очень похожую проблему, изучил скрипт AVZ, удалил то, что меня не особо касается, запустил, а после добил все adwcleaner`ом. И уж на этот раз я был уверен, что с паразитом покончено, но не тут-то было. Еще через день-два я снова обнаружил установку очередных других программ, которых в предыдущие разы не было. Теперь я только лишь избавился от всей этой мути с помощью adwcleaner`а и решил написать в данный раздел.

В прикреплении оба лога adwcleanera.

@shestale · 31.01.2016, 15:37

MEGAsync [2016/01/06 02:23:24]-->C:\Users\Максим\AppData\Local\MEGAsync\ uninst.exe
Spotify [20160129]-->"C:\Users\Максим\AppData\Roaming\Spotif y\Spotify.exe" /uninstall

Деинсталируйте если не ваше.
+
Внимание! Рекомендации написаны специально для mabean. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\ProgramData\Tmp0x0x', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFileF('C:\Users\Максим\AppData\Local\SystemMonitor2016', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFile('C:\ProgramData\Tmp0x0x\P', '');
 QuarantineFile('C:\Users\Максим\AppData\Local\SystemMonitor2016\3025868496.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "SystemMonitor2016" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\Tmp0x0x\P', '32');
 DeleteFile('C:\Users\Максим\AppData\Local\SystemMonitor2016\3025868496.exe', '32');
 DeleteFileMask('C:\ProgramData\Tmp0x0x', '*', true);
 DeleteFileMask('C:\Users\Максим\AppData\Local\SystemMonitor2016', '*', true);
 DeleteDirectory('C:\ProgramData\Tmp0x0x');
 DeleteDirectory('C:\Users\Максим\AppData\Local\SystemMonitor2016');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!
Удалите параметры запуска ярлыков.
Подготовьте СВЕЖИЙ лог AdwCleaner.

@mabean · 31.01.2016, 15:49 **[ТС]**

Сообщение от shestale

MEGAsync [2016/01/06 02:23:24]-->C:\Users\Максим\AppData\Local\MEGAsync\ uninst.exe
Spotify [20160129]-->"C:\Users\Максим\AppData\Roaming\Spotif y\Spotify.exe" /uninstall
Деинсталируйте если не ваше.
+

Мое, лог adwcleaner`а прикрепил.

@shestale · 31.01.2016, 15:55

Сообщение от shestale

Удалите параметры запуска ярлыков.

А этот лог?

@mabean · 31.01.2016, 16:00 **[ТС]**

Сообщение от shestale

А этот лог?

Виноват, прикрепил.

@shestale · 31.01.2016, 16:03

Удалите в AdwCleaner все найденные объекты.
+
Подготовьте логи Farbar Recovery Scan Tool

@mabean · 31.01.2016, 16:14 **[ТС]**

Сообщение от shestale

Удалите в AdwCleaner все найденные объекты.
+
Подготовьте логи Farbar Recovery Scan Tool

Сделано

@shestale · 31.01.2016, 16:32

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
start
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3405560613-385546781-409865364-1001_Classes\CLSID\{19170A69-A883-40D5-AF97-F6DC41495F15}\InprocServer32 -> C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskShellExt-4724.dll => No File
CustomCLSID: HKU\S-1-5-21-3405560613-385546781-409865364-1001_Classes\CLSID\{2D6BD2F0-5F84-4a06-924F-AEE0598B6272}\InprocServer32 -> C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskShellExt-4724.dll => No File
CustomCLSID: HKU\S-1-5-21-3405560613-385546781-409865364-1001_Classes\CLSID\{33A431BB-FF15-4047-8FEC-F82FD3523A00}\localserver32 -> C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDisk.exe -autoplay => No File
CustomCLSID: HKU\S-1-5-21-3405560613-385546781-409865364-1001_Classes\CLSID\{97836AB9-12C5-4C30-A128-B75196DD1787}\InprocServer32 -> C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskShellExt-4724.dll => No File
CustomCLSID: HKU\S-1-5-21-3405560613-385546781-409865364-1001_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskShellExt-4724.dll => No File
AlternateDataStreams: C:\Users\Максим\Desktop\Скриншот 2014-05-07 00.12.44 — копия.png:com.dropbox.attributes
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <===== ATTENTION
CHR HKU\S-1-5-21-3405560613-385546781-409865364-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
2016-01-30 23:53 - 2016-01-30 23:54 - 00000000 ____D C:\Users\Все пользователи\BWdMB
2016-01-30 23:53 - 2016-01-30 23:54 - 00000000 ____D C:\ProgramData\BWdMB
2016-01-28 20:15 - 2016-01-28 20:15 - 00000000 ____D C:\Users\Все пользователи\mWLhMlx
2016-01-28 20:15 - 2016-01-28 20:15 - 00000000 ____D C:\Users\Все пользователи\lvtSShbS
2016-01-28 20:15 - 2016-01-28 20:15 - 00000000 ____D C:\Users\Все пользователи\epIGAg
2016-01-28 20:15 - 2016-01-28 20:15 - 00000000 ____D C:\ProgramData\mWLhMlx
2016-01-28 20:15 - 2016-01-28 20:15 - 00000000 ____D C:\ProgramData\lvtSShbS
2016-01-28 20:15 - 2016-01-28 20:15 - 00000000 ____D C:\ProgramData\epIGAg
2016-01-22 16:04 - 2016-01-22 16:04 - 00000000 ____D C:\Users\锑犟桁\AppData\Roaming\Tencent
2016-01-22 16:04 - 2016-01-22 16:04 - 00000000 ____D C:\Users\锑犟桁
2016-01-22 16:03 - 2016-01-22 16:21 - 00000000 ____D C:\Program Files (x86)\IObit
2016-01-22 16:03 - 2016-01-22 16:11 - 00000000 ____D C:\Users\Максим\AppData\Roaming\IObit
2016-01-22 16:03 - 2016-01-22 16:11 - 00000000 ____D C:\Users\Все пользователи\IObit
2016-01-22 16:03 - 2016-01-22 16:11 - 00000000 ____D C:\ProgramData\IObit
2016-01-22 16:03 - 2016-01-22 16:03 - 00000000 ____D C:\Users\Максим\AppData\LocalLow\IObit
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

Проблема решена?

@mabean · 31.01.2016, 16:49 **[ТС]**

Нельзя пока что точно сказать, но будем надеяться, что больше не повторится.
Была ли какая-то проблема в Яндекс.Диске?

@shestale · 31.01.2016, 16:52

Сообщение от mabean

Была ли какая-то проблема в Яндекс.Диске?

Нам это не известно.
+
Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24.
Лог, который откроется, скопируйте и выложите, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@mabean · 31.01.2016, 17:15 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16]
WebSite: www.safezone.cc
DateLog: 31.01.2016 17:08:17
Path starting: C:\Users\Максим\AppData\Local\Temp\Secur ityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Максим
VersionXML: 2.38is-27.01.2016
________________________________________ ___________________________________

Windows 8.1(6.3.9600) (x64) Professional Lang: Russian(0419)
Дата установки ОС: 05.10.2015 21:24:05
Режим загрузки: Normal
Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe)
Системный диск: C: ФС: [NTFS] Емкость: [223.1 Гб] Занято: [194 Гб] Свободно: [29.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18161
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2016-01-30 07:31:38
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.41212.0
Picasa 3 v.3.9.140.248 Внимание! Скачать обновления
^Необязательное обновление.^
TeamViewer 11 v.11.0.53254
VLC media player v.2.2.1
WinRAR 5.20 (32-bit) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Telegram Desktop version 0.9.13 v.0.9.13 Внимание! Скачать обновления
^Необязательное обновление.^
Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления
^Необязательное обновление.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.15.010.20056
------------------------------- [ Browser ] -------------------------------
Google Chrome v.48.0.2564.97 [+]
Mozilla Firefox 43.0.4 (x86 ru) v.43.0.4 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe v.48.0.2564.97
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics BoostSpeed 8 v8.0.2 v.8.0.2 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

@shestale · 31.01.2016, 17:18

Обновляйтесь.
+

Сообщение от mabean

Auslogics BoostSpeed 8 v8.0.2 v.8.0.2 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Если не ваше, тогда деинсталируйте, запустив анинсталы:

Auslogics BoostSpeed 8 v8.0.2 [20151006]-->"C:\Program Files (x86)\Auslogics\BoostSpeed\uninstall.exe "
Auslogics Driver Updater v1.6.0 [20151006]-->"C:\Program Files (x86)\Auslogics\Driver Updater\uninstall.exe"

+
Выполните рекомендации после удаления вредоносного ПО

@mabean · 31.01.2016, 17:20 **[ТС]**

Сообщение от shestale

Если не ваше, тогда деинсталируйте:

Мое.
Спасибо за помощь!

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	31.01.2016, 16:03
	Удалите в AdwCleaner все найденные объекты. + Подготовьте логи Farbar Recovery Scan Tool 0

@mabean 0 / 0 / 0 Регистрация: 31.01.2016 Сообщений: 7
	31.01.2016, 17:15 [ТС]
	SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16] WebSite: www.safezone.cc DateLog: 31.01.2016 17:08:17 Path starting: C:\Users\Максим\AppData\Local\Temp\Secur ityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Максим VersionXML: 2.38is-27.01.2016 ________________________________________ ___________________________________ Windows 8.1(6.3.9600) (x64) Professional Lang: Russian(0419) Дата установки ОС: 05.10.2015 21:24:05 Режим загрузки: Normal Браузер по умолчанию: Internet Explorer (C:\Program Files\Internet Explorer\iexplore.exe) Системный диск: C: ФС: [NTFS] Емкость: [223.1 Гб] Занято: [194 Гб] Свободно: [29.1 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18161 Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2016-01-30 07:31:38 Центр обновления Windows (wuauserv) - Служба остановлена Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (выключен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- 7-Zip 15.12 (x64) v.15.12 Внимание! Скачать обновления Microsoft Silverlight v.5.1.41212.0 Picasa 3 v.3.9.140.248 Внимание! Скачать обновления *^Необязательное обновление.^* TeamViewer 11 v.11.0.53254 VLC media player v.2.2.1 WinRAR 5.20 (32-bit) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Telegram Desktop version 0.9.13 v.0.9.13 Внимание! Скачать обновления *^Необязательное обновление.^* Skype™ 7.17 v.7.17.105 Внимание! Скачать обновления *^Необязательное обновление.^* --------------------------------- [ P2P ] --------------------------------- µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.3.1.0.4880 Внимание! Скачать обновления Adobe Acrobat Reader DC - Russian v.15.010.20056 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.48.0.2564.97 [+] Mozilla Firefox 43.0.4 (x86 ru) v.43.0.4 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe v.48.0.2564.97 ---------------------------- [ UnwantedApps ] ----------------------------- Auslogics BoostSpeed 8 v8.0.2 v.8.0.2 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. ----------------------------- [ End of Log ] ------------------------------ 0