Вирус автоматически устанавливает программы

@ehlogunov1992 · Регистрация: 13.02.2016

Студворк — интернет-сервис помощи студентам

Скачал с интернета архив, запустил и тут все началось... Начали появляться ссылки на рабочем столе на всякие приложения, устанавливаться всяких хлам ну и т.д.
логи прилогаются

@shestale · 13.02.2016, 06:43

Внимание! Рекомендации написаны специально для ehlogunov1992. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\programdata\applicationhosting', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\WajaNetEn', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFileF('C:\Program Files\SpaceSoundPro', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFile('c:\programdata\applicationhosting\applicationhosting.exe', '');
 QuarantineFile('C:\Program Files\WajaNetEn\d44e5a9a91222523a902ecd8359bce40.exe', '');
 QuarantineFile('c:\program files\wajaneten\e9e70c3a6e60f373021440d510a67abb.exe', '');
 QuarantineFile('c:\program files (x86)\c66f4936-1455308984-e411-aa1f-f0761c3bf775\knsme23e.tmpfs', '');
 QuarantineFile('c:\users\эдик\appdata\local\c66f4936-1455326898-e411-aa1f-f0761c3bf775\qnsg34b8.tmp', '');
 QuarantineFile('c:\program files\wajaneten\WajaNetEnlibs\pmghqp.dll', '');
 QuarantineFile('C:\Users\эдик\AppData\Local\C66F4936-1455326898-E411-AA1F-F0761C3BF775\qnsg34B8.tmp', '');
 QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '');
 QuarantineFile('C:\ProgramData\lHjEvPUAk\mQhWISPJd0.bat', '');
 QuarantineFile('C:\PROGRA~1\GROOVE~1\Jykcubg.bat', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Nuqdolcu" /F', 0, 15000, true);
 DeleteFile('c:\programdata\applicationhosting\applicationhosting.exe', '32');
 DeleteFile('C:\Program Files\WajaNetEn\d44e5a9a91222523a902ecd8359bce40.exe', '32');
 DeleteFile('c:\program files\wajaneten\e9e70c3a6e60f373021440d510a67abb.exe', '32');
 DeleteFile('c:\program files (x86)\c66f4936-1455308984-e411-aa1f-f0761c3bf775\knsme23e.tmpfs', '32');
 DeleteFile('c:\users\эдик\appdata\local\c66f4936-1455326898-e411-aa1f-f0761c3bf775\qnsg34b8.tmp', '32');
 DeleteFile('c:\program files\wajaneten\WajaNetEnlibs\pmghqp.dll', '32');
 DeleteFile('C:\Users\эдик\AppData\Local\C66F4936-1455326898-E411-AA1F-F0761C3BF775\qnsg34B8.tmp', '32');
 DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe', '32');
 DeleteFile('C:\ProgramData\lHjEvPUAk\mQhWISPJd0.bat', '32');
 DeleteFile('C:\PROGRA~1\GROOVE~1\Jykcubg.bat', '32');
 DeleteFileMask('c:\programdata\applicationhosting', '*', true);
 DeleteFileMask('C:\Program Files\WajaNetEn', '*', true);
 DeleteFileMask('C:\Program Files\SpaceSoundPro', '*', true);
 DeleteDirectory('c:\programdata\applicationhosting');
 DeleteDirectory('C:\Program Files\WajaNetEn');
 DeleteDirectory('C:\Program Files\SpaceSoundPro');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','SpaceSoundPro');
 DeleteService('ApplicationHosting');
 DeleteService('ketomubyzbt');
 DeleteService('WajaNetEn Monitor');
 DeleteService('zigipyro');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!
Удалите параметры запуска ярлыков.
Подготовьте лог AdwCleaner.

@ehlogunov1992 · 13.02.2016, 13:14 **[ТС]**

вот лог AdwCleaner

@shestale · 13.02.2016, 15:35

И все?

@ehlogunov1992 · 13.02.2016, 15:37 **[ТС]**

ну вроде бы да, от вируса и след простыл
Спасибо большое!

@shestale · 13.02.2016, 15:44

Через 2 дня вернется, но мы тогда помогать уже вам не будем или заканчивайте лечение до самого конца.

@ehlogunov1992 · 13.02.2016, 15:59 **[ТС]**

ну я все этапы выполнил которые вы написали, файл quarantine.zip я отправил на почту

@shestale · 13.02.2016, 17:25

п.5 лог где?

@ehlogunov1992 · 13.02.2016, 18:23 **[ТС]**

извиняюсь,не то приложил

@shestale · 13.02.2016, 18:34

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24
Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@ehlogunov1992 · 13.02.2016, 18:36 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16]
WebSite: www.safezone.cc
DateLog: 13.02.2016 17:37:23
Path starting: C:\Users\эдик\AppData\Local\Temp\Securit yCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: эдик
VersionXML: 2.44is-10.02.2016
________________________________________ ___________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 12.12.2015 10:54:22
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe
Системный диск: C: ФС: [NTFS] Емкость: [511.7 Гб] Занято: [62.4 Гб] Свободно: [449.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2015-12-12 20:05:46
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.18 v.7.18.111
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41712 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 ActiveX & Plugins 64-bit v.20.0.0.235 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
Adobe Acrobat Reader DC - Russian v.15.010.20056
------------------------------- [ Browser ] -------------------------------
Google Chrome v.48.0.2564.109
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe v.48.0.2564.109
----------------------------- [ End of Log ] ------------------------------

@shestale · 13.02.2016, 18:38

Обновляйтесь
+
Выполните рекомендации после удаления вредоносного ПО

@ehlogunov1992 · 13.02.2016, 18:47 **[ТС]**

Хорошо и спасибо за помощь

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Реализация движения на Box2D v3 - трение и коллизии с повёрнутыми стенами 8Observer8 20.02.2026 Содержание блога Box2D позволяет легко создать главного героя, который не проходит сквозь стены и перемещается с заданным трением о препятствия, которые можно располагать под углом, как верхнее. . .	Конвертировать закладки radiotray-ng в m3u-плейлист damix 19.02.2026 Это можно сделать скриптом для PowerShell. Использование . \СonvertRadiotrayToM3U. ps1 <path_to_bookmarks. json> Рядом с файлом bookmarks. json появится файл bookmarks. m3u с результатом. # Check if. . .	Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.02.2016, 15:35
	И все? 0

@ehlogunov1992 0 / 0 / 0 Регистрация: 13.02.2016 Сообщений: 7
	13.02.2016, 15:37 [ТС]
	ну вроде бы да, от вируса и след простыл Спасибо большое! 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.02.2016, 15:44
	Через 2 дня вернется, но мы тогда помогать уже вам не будем или заканчивайте лечение до самого конца. 0

@ehlogunov1992 0 / 0 / 0 Регистрация: 13.02.2016 Сообщений: 7
	13.02.2016, 15:59 [ТС]
	ну я все этапы выполнил которые вы написали, файл quarantine.zip я отправил на почту 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.02.2016, 17:25
	п.5 лог где? 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.02.2016, 18:34
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24 Лог, который откроется, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0

@ehlogunov1992 0 / 0 / 0 Регистрация: 13.02.2016 Сообщений: 7
	13.02.2016, 18:36 [ТС]
	SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16] WebSite: www.safezone.cc DateLog: 13.02.2016 17:37:23 Path starting: C:\Users\эдик\AppData\Local\Temp\Securit yCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: эдик VersionXML: 2.44is-10.02.2016 ________________________________________ ___________________________________ Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419) Дата установки ОС: 12.12.2015 10:54:22 Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe Системный диск: C: ФС: [NTFS] Емкость: [511.7 Гб] Занято: [62.4 Гб] Свободно: [449.3 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2015-12-12 20:05:46 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (выключен и обновлен) --------------------------- [ OtherUtilities ] ---------------------------- WinRAR 5.20 (32-разрядная) v.5.20.0 Внимание! Скачать обновления --------------------------------- [ IM ] ---------------------------------- Skype™ 7.18 v.7.18.111 --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.5.41712 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 20 ActiveX & Plugins 64-bit v.20.0.0.235 Внимание! Скачать обновления ^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^ Adobe Acrobat Reader DC - Russian v.15.010.20056 ------------------------------- [ Browser ] ------------------------------- Google Chrome v.48.0.2564.109 --------------------------- [ RunningProcess ] ---------------------------- C:\Program Files (x86)\Google\Chrome\Application\chrome.e xe v.48.0.2564.109 ----------------------------- [ End of Log ] ------------------------------ 0

@shestale 8618 / 4187 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	13.02.2016, 18:38
	Обновляйтесь + Выполните рекомендации после удаления вредоносного ПО 0

@ehlogunov1992 0 / 0 / 0 Регистрация: 13.02.2016 Сообщений: 7
	13.02.2016, 18:47 [ТС]
	Хорошо и спасибо за помощь 0