0 / 0 / 0
Регистрация: 24.10.2016
Сообщений: 5
1

Вирус автоматически устанавливает программы

24.10.2016, 22:26. Показов 1181. Ответов 9
Метки нет (Все метки)

Здравствуйте!

Столкнулся со следующей проблемой - скачал с просторов интернета архив, разархивировал его, и началось следующее: автоматически и произвольным образом на панели задач и в трее появляются ярлыки программ (Амиго, Вконтакте, Одноклассники и т.д. - я открепляю их, но через некоторое время они появляются вновь).Также, при первичном после ребута ПК запуске браузера вместо домашний страницы (использую Chrome) открывается другая странаца и выпливает разная реклама.
Прошу вашей помощи. Лог AutoLogger прилагается.

Спасибо!
Вложения
Тип файла: zip CollectionLog-2016.10.24-22.17.zip (67.4 Кб, 3 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
24.10.2016, 22:26
Ответы с готовыми решениями:

Вирус автоматически устанавливает программы
Здравствуйте! Столкнулся со следующей проблемой - скачал с просторов интернета архив,...

Вирус автоматически устанавливает программы
Добрый день! По своей неосторожности при попытке активировать Windows скачал мутный архив и...

Вирус автоматически устанавливает программы
Здравствуйте. Проблема такая. Сегодня скачал с интернета, по не осторожности, файл. Запустил...

Вирус автоматически устанавливает программы
Столкнулся со следующей проблемой - скачал с просторов интернета архив, разархивировал его, и...

9
Вирусоборец
7762 / 5193 / 886
Регистрация: 06.09.2009
Сообщений: 20,589
25.10.2016, 00:07 2
Выполните скрипт в AVZ
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\hdtask\hdtask.exe');
 TerminateProcessByName('C:\Program Files\SpaceSoundPro\i_network.exe');
 TerminateProcessByName('C:\Users\Nachti\AppData\Local\Temp\W0XZNC0LJW.exe');
 TerminateProcessByName('c:\program files (x86)\win_en_77\win_en_77.exe');
 TerminateProcessByName('C:\Program Files\SpaceSoundPro\wizzcaster.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxargamebrowser.exe');
 TerminateProcessByName('c:\program files (x86)\zaxar\zaxarloader.exe');
 SetServiceStart('kisknl', 4);
 SetServiceStart('ksapi64', 4);
 QuarantineFile('C:\Users\Nachti\AppData\Roaming\Adobe\Manager.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\sensors\qtsensors_generic.dll','');
 QuarantineFile('C:\Program Files (x86)\Zaxar\bearer\qnativewifibearer.dll','');
 QuarantineFile('c:\program files (x86)\natertionkacerse\pptprv.dll','');
 QuarantineFile('C:\Users\Nachti\AppData\Local\Temp\W0XZNC0LJW.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxarloader.exe','');
 QuarantineFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\wizzcaster.exe','');
 QuarantineFile('c:\program files (x86)\win_en_77\win_en_77.exe','');
 QuarantineFile('c:\programdata\hdtask\hdtask.exe','');
 QuarantineFile('C:\Program Files\SpaceSoundPro\i_network.exe','');
 DeleteFile('C:\Program Files\SpaceSoundPro\i_network.exe','32');
 DeleteFile('c:\program files (x86)\win_en_77\win_en_77.exe','32');
 DeleteFile('C:\Program Files\SpaceSoundPro\wizzcaster.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxargamebrowser.exe','32');
 DeleteFile('c:\program files (x86)\zaxar\zaxarloader.exe','32');
 DeleteFile('C:\Users\Nachti\AppData\Local\Temp\W0XZNC0LJW.exe','32');
 DeleteFile('c:\program files (x86)\natertionkacerse\pptprv.dll','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\bearer\qnativewifibearer.dll','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\sensors\qtsensors_generic.dll','32');
 DeleteFile('C:\Windows\system32\drivers\kisknl.sys','32');
 DeleteFile('C:\Windows\system32\drivers\ksapi64.sys','32');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\security\ksnetm\kisnetm64.sys','32');
 DeleteFile('c:\program files (x86)\kingsoft\kingsoft antivirus\kxetray.exe','32');
 DeleteFile('C:\ProgramData\hdtask\hdtask.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 DeleteFile('C:\Users\Nachti\AppData\Roaming\Adobe\Manager.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Multimedia\Manager','64');
 DeleteFile('C:\Program Files\spacesoundpro\uninstaller.exe','32');
 DeleteService('ksapi64');
 DeleteService('kisknl');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!



Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
http://dragokas.com/tools/move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

Выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи
0
0 / 0 / 0
Регистрация: 24.10.2016
Сообщений: 5
25.10.2016, 02:18  [ТС] 3
Вот новие логи
Вложения
Тип файла: log ClearLNK-25.10.2016_02-00.log (1.2 Кб, 1 просмотров)
Тип файла: zip CollectionLog-2016.10.25-02.17.zip (60.8 Кб, 2 просмотров)
0
Вирусоборец
7762 / 5193 / 886
Регистрация: 06.09.2009
Сообщений: 20,589
25.10.2016, 20:16 4
Скачайте Farbar Recovery Scan Tool [img]http://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]http://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
0
0 / 0 / 0
Регистрация: 24.10.2016
Сообщений: 5
25.10.2016, 23:33  [ТС] 5
Новый лог
Вложения
Тип файла: rar log.rar (26.7 Кб, 2 просмотров)
0
Вирусоборец
7762 / 5193 / 886
Регистрация: 06.09.2009
Сообщений: 20,589
26.10.2016, 00:09 6
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
Код
CreateRestorePoint:
HKLM-x32\...\Run: [kxesc] => "c:\program files (x86)\kingsoft\kingsoft antivirus\kxetray.exe" -autorun
CHR StartupUrls: Profile 3 -> "hxxp://www.google.com","hxxp://rts.dsrlte.com?affID=pr_e8fd45a0-dc88-4336-87ca-9cf15c4570af","hxxp://go.mail.ru/?chverfix=1&fr=chverfix_sg","hxxp://search.yahoo.com/?fr=hp-ddc-bd&type=804_pr__alt__ddc_dsssyc_bd_com","hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://www.mystartsearch.com/?type=hp&ts=1438193370&z=1f2c3eb3850e1b463a23cb7g7z1c2b8g7t9cec3g2q&from=cmi&uid=SAMSUNGXHD502IJ_S13TJ90Q940798","hxxp://mail.ru/cnt/10445?gp=820329","hxxp://mail.ru/cnt/10445?gp=811036"
CHR Extension: (Chrome Media Router) - C:\Users\Nachti\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-21]
CHR Extension: (Chrome Media Router) - C:\Users\Nachti\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-10-25]
OPR Extension: (Quick Searcher) - C:\Users\Nachti\AppData\Roaming\Opera Software\Opera Stable\Extensions\bfbmjmiodbnnpllbbbfblcplfjjepjdn [2015-07-29]
S2 Atamechterfu; C:\Program Files (x86)\Bizityreerather\Mmcmonitor.dll [X]
2016-10-24 21:50 - 2016-10-24 21:51 - 00000000 ____D C:\Users\Nachti\AppData\Local\Tejighprmary
2016-10-24 21:50 - 2016-10-24 21:50 - 00000000 ____D C:\Users\Nachti\AppData\Roaming\Werdely
2016-10-24 21:50 - 2016-10-24 21:50 - 00000000 ____D C:\Program Files (x86)\Ckudeckpetion
2016-10-24 21:42 - 2016-10-24 21:42 - 00003088 _____ C:\Windows\System32\Tasks\MailRuUpdater
2016-10-24 21:42 - 2016-10-24 21:42 - 00002221 _____ C:\Users\Nachti\Desktop\Амиго.lnk
2016-10-23 22:42 - 2016-10-23 22:42 - 00000000 ____D C:\Users\Nachti\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2016-10-23 22:01 - 2016-10-25 01:55 - 00000000 ____D C:\Program Files (x86)\Natertionkacerse
2016-10-23 22:01 - 2016-10-24 00:13 - 00000000 ____D C:\Users\Nachti\AppData\Roaming\Getaenthajos
2016-10-22 21:45 - 2016-10-25 01:45 - 00000000 ____D C:\Users\Все пользователи\hdtask
2016-10-22 21:45 - 2016-10-25 01:45 - 00000000 ____D C:\ProgramData\hdtask
2016-10-21 22:04 - 2016-10-21 22:04 - 00286296 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl64.sys
2016-10-21 22:04 - 2016-10-21 22:04 - 00286296 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisknl.sys
2016-10-21 22:04 - 2016-10-21 22:04 - 00114488 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetmxp.sys
2016-10-21 22:04 - 2016-10-21 22:04 - 00114264 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi.sys
2016-10-21 22:04 - 2016-10-21 22:04 - 00113464 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm.sys
2016-10-21 22:04 - 2016-10-21 22:04 - 00109880 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\kisnetm64.sys
2016-10-21 22:04 - 2016-10-21 22:04 - 00070744 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksapi64.sys
2016-10-21 22:04 - 2016-10-21 22:04 - 00019352 _____ (Kingsoft Corporation) C:\Windows\system32\Drivers\ksskrpr.sys
2016-10-21 22:02 - 2016-10-24 21:42 - 00002229 _____ C:\Users\Nachti\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Nachti\AppData\Local\Temp\37DA.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\3gs_lj.exe
C:\Users\Nachti\AppData\Local\Temp\4015.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\48AD.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\4F52.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\8CF7.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\8F3D.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\97F0.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\98FE.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\ACED.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\ACSV4Q9BNN.exe
C:\Users\Nachti\AppData\Local\Temp\B3.exe
C:\Users\Nachti\AppData\Local\Temp\BB98.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\ContentPushSetup.exe
C:\Users\Nachti\AppData\Local\Temp\DBUpdater.exe
C:\Users\Nachti\AppData\Local\Temp\E739.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\EPVCK5MKVH.exe
C:\Users\Nachti\AppData\Local\Temp\F03F.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\FD0B.tmp.exe
C:\Users\Nachti\AppData\Local\Temp\GBR8UJ98JY.exe
C:\Users\Nachti\AppData\Local\Temp\LI4Y1WXXA1.exe
C:\Users\Nachti\AppData\Local\Temp\libeay32.dll
C:\Users\Nachti\AppData\Local\Temp\msvcr120.dll
C:\Users\Nachti\AppData\Local\Temp\nssE577.exe
C:\Users\Nachti\AppData\Local\Temp\prepreinstaller_win.exe
C:\Users\Nachti\AppData\Local\Temp\PX9DN941PG.exe
C:\Users\Nachti\AppData\Local\Temp\sdf804A.exe
C:\Users\Nachti\AppData\Local\Temp\sdfC2A.exe
C:\Users\Nachti\AppData\Local\Temp\sdfD0EC.exe
C:\Users\Nachti\AppData\Local\Temp\sdfE0A.exe
C:\Users\Nachti\AppData\Local\Temp\servicesc.exe
C:\Users\Nachti\AppData\Local\Temp\sqlite3.dll
C:\Users\Nachti\AppData\Local\Temp\UD83UZ2E7Q.exe
C:\Users\Nachti\AppData\Local\Temp\WindowsUpdateKB12695__7428_il1.exe
C:\Users\Nachti\AppData\Local\Temp\yomz.exe
C:\Users\Nachti\AppData\Local\Temp\ZaxarSetup.4.001.1827.exe
C:\Users\Nachti\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
C:\Users\Nachti\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
Task: {D01AA66C-5761-4B22-BB46-14F191C0A454} - \Microsoft\Windows\Multimedia\Manager -> No File <==== ATTENTION
Reboot:
2. Нажмите ФайлСохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файлаВсе файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание, что будет выполнена перезагрузка компьютера.
0
0 / 0 / 0
Регистрация: 24.10.2016
Сообщений: 5
26.10.2016, 00:34  [ТС] 7
Сделано
Вложения
Тип файла: txt Fixlog.txt (10.7 Кб, 2 просмотров)
0
Вирусоборец
7762 / 5193 / 886
Регистрация: 06.09.2009
Сообщений: 20,589
26.10.2016, 19:34 8
Проблема решена?
0
0 / 0 / 0
Регистрация: 24.10.2016
Сообщений: 5
26.10.2016, 21:58  [ТС] 9
Кажетса что ришена
0
Вирусоборец
7762 / 5193 / 886
Регистрация: 06.09.2009
Сообщений: 20,589
27.10.2016, 19:17 10
  • Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Скопируйте содержимое файла в свое следующее сообщение.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
27.10.2016, 19:17

Вирус автоматически устанавливает программы
Столкнулся со следующей проблемой - скачал с просторов интернета архив, разархивировал его, и...

Вирус автоматически устанавливает программы
Доброго времени суток. Столкнулся с проблемой вируса автоматически устанавливающего приложения...

Вирус автоматически устанавливает программы
Скачал архив, вылезло окно .ехе скачать ххх файл с галочками амиго і тд, я закрыл окно, удалил...

Вирус автоматически устанавливает программы
Установилось какое-то китайское ПО и постоянно в браузере всплывает реклама, устанавливаются...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
10
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.