0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
1

Устанавливаются сторонние программы, браузеры с иероглифами, какие-то программы

10.02.2017, 17:54. Показов 1042. Ответов 19
Метки нет (Все метки)

Началось всё с процесса, сворачивающего все активные окна, после ребута ПК стали устанавливаться сторонние программы.
Логи прилагаю.
Вложения
Тип файла: zip CollectionLog-2017.02.10-20.50.zip (120.8 Кб, 2 просмотров)
__________________
Помощь в написании контрольных, курсовых и дипломных работ здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
10.02.2017, 17:54
Ответы с готовыми решениями:

Самовольно устанавливаются сторонние программы
SecurityCheck by glax24 v.1.4.0.32 WebSite: www.safezone.cc DateLog: 05.11.2015 17:39:44 Path...

Бесконечно устанавливаются сторонние программы
Здравствуйте! Видать троян подхватил, т.к. во время подключения к инету, непроизвольно начинают...

Самопроизвольно устанавливаются сторонние программы
Здравствуйте, самопроизвольно устанавливаются программы амиго, однаклассники, вк, gameDekstop,...

На компьютер устанавливаются сторонние программы
Здравствуйте! проблема, я смотрю, актуальная. Началось все с того, что в любом браузере открывались...

19
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 20:29 2
Деинсталлируйте следующее ПО:

DiskP version 1.0 [20170210]-->"C:\Program Files (x86)\DiskP\unins000.exe"
MyMemory [2017/02/10 20:32:21]-->C:\Program Files (x86)\MyMemory\uninstall.exe
MyMemory [2017/02/10 20:32:27]-->"C:\Program Files (x86)\72b4aabc-799f-42b6-bf38-bf6a5c88cc141486737147\Uninstall.exe"
SafeFinder [2017/02/10 20:34:04]-->"C:\Program Files (x86)\Common Files\Techlam\uninstall.exe" shuz -f "C:\Program Files (x86)\Common Files\Techlam\uninstall.dat" -a uninstallme F70AAA3D-5D97-4295-8D9B-CAF7C40CE44C DeviceId=a830adc9-bbfe-0ae6-40de-323d635c8e68 BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn
trotux - Uninstall [2017/02/10 20:28:53]-->C:\Program Files (x86)\Gherwaspanasution\dozuent.exe ef869dec-feed-46e1-a4fe-427f47f37b77 "/k={77941081-9F98-4102-BF59-19487896B71E}"
trotux - Uninstall [2017/02/10 20:32:57]-->C:\Program Files (x86)\Therhisy\planut.exe be038c47-9326-4d17-9d70-ce890422304f "/k={AC266DEF-2A87-4A1E-A00D-B1D7690B5070}"
trotux - Uninstall [2017/02/10 20:32:58]-->C:\Program Files (x86)\Therhisy\planut.exe be038c47-9326-4d17-9d70-ce890422304f "/k={73872569-60A0-45B7-8AF3-5C3A437714AD}"
Unity Web Player [2017/01/21 21:43:12]-->C:\Users\supas\AppData\Local\Unity\WebPlayer\Uninstall.ex e /CurrentUser
Zaxar Games Browser 4 [20170210]-->"C:\Program Files (x86)\Zaxar\unins000.exe"
Служба автоматического обновления программ [2017/02/10 20:29:11]-->C:\Users\supas\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall
Если не удаляется стандартно, используйте Geek Uninstaller

Выполните скрипт в AVZ

>>>Внимание!!! Из-за большого размера скрипт находится в прикрепленном архиве. Скачайте, прежде чем продолжить<<<

Будет выполнена перезагрузка компьютера.

После перезагрузки. Выполните скрипт в AVZ:

Код
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!


Перетащите файл-отчет ...\AutoLogger\CheckBrowserLnk\Check_Browsers_LNK.log на файл программы.



ВНИМАНИЕ: Приложите в теме, где Вам оказывают помощь, отчет ClearLNK-<Дата>.log, который будет создан в папке LOG рядом с программой.
Если отчет слишком большой, упакуйте его в архив формата ZIP.



Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
Вложения
Тип файла: zip script.zip (2.5 Кб, 2 просмотров)
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 21:04  [ТС] 3
Вот логи
Вложения
Тип файла: log ClearLNK-10.02.2017_23-55.log (2.4 Кб, 1 просмотров)
Тип файла: zip CollectionLog-2017.02.11-00.03.zip (86.8 Кб, 1 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 21:09 4
Подготовьте лог JRT: https://www.cyberforum.ru/viru... 05776.html

Затем подготовьте лог AdwCleaner: https://www.cyberforum.ru/post6500078.html
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 21:26  [ТС] 5
Готово
Вложения
Тип файла: txt JRT.txt (2.4 Кб, 1 просмотров)
Тип файла: rar AdwCleaner[S0].rar (3.4 Кб, 2 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 21:30 6
Удалите все найденное в AdwCleaner: https://www.cyberforum.ru/post6500085.html
Лог после удаления прикрепите

Если после перезагрузки не запустится Рабочий стол, запустите его вручную Ctrl - Alt - Del - Диспетчер задач - Файл - Запустить новую задачу - explorer.exe - Enter

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 21:39  [ТС] 7
Вот они
Вложения
Тип файла: rar AdwCleaner[C0].rar (3.5 Кб, 1 просмотров)
Тип файла: rar FRST.rar (29.3 Кб, 1 просмотров)
Тип файла: rar Addition.rar (10.4 Кб, 1 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 22:01 8
Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool.

Cкопируйте в него текст из окна "winbatch" ниже и сохраните.

Windows Batch file
start
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Providers\4qy3hwj4: C:\Program Files (x86)\Drecaward Client\local64spl.dll
C:\Program Files (x86)\Drecaward Client\
ShellExecuteHooks: No Name - {58AF6728-ECD0-11E6-BFEA-64006A5CFC23} - C:\Users\supas\AppData\Roaming\Climofabech\Gipphsaweght.dll -> No File
C:\Users\supas\AppData\Roaming\Climofabech\
ShellExecuteHooks: No Name - {7FF42358-ECD1-11E6-946D-64006A5CFC23} - C:\Users\supas\AppData\Roaming\Prilecergutain\Woatdrusent.dll -> No File
C:\Users\supas\AppData\Roaming\Prilecergutain\
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\їмС№\X64\KZipShell.dll -> No File
C:\Program Files\їмС№\
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
SearchScopes: HKLM-x32 -> DefaultScope value is missing
S2 Stuhoph; C:\Windows\system32\svchost.exe [44496 2016-07-16] (Microsoft Corporation)
S2 Stuhoph; C:\Windows\SysWOW64\svchost.exe [38792 2016-07-16] (Microsoft Corporation)
2017-02-10 20:34 - 2017-02-10 20:34 - 00000000 ____D C:\Users\supas\AppData\Local\UCBrowser
2017-02-10 20:34 - 2017-02-10 20:34 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-02-10 20:33 - 2017-02-10 23:42 - 00000000 ____D C:\Program Files\їмС№
2017-02-10 20:33 - 2017-02-10 23:42 - 00000000 ____D C:\Program Files\X2PIGA7GBG
2017-02-10 20:33 - 2017-02-10 23:42 - 00000000 ____D C:\Program Files\F99H2BHJ7Y
2017-02-10 20:33 - 2017-02-10 20:33 - 01908765 _____ C:\Users\supas\AppData\Roaming\Anzap.tst
2017-02-10 20:33 - 2017-02-10 20:33 - 00278519 _____ C:\Users\supas\AppData\Roaming\It-Eco.bin
2017-02-10 20:33 - 2017-02-10 20:33 - 00000882 _____ C:\Users\supas\AppData\Roaming\Microsoft\Windows\Start Menu\їмС№.lnk
2017-02-10 20:34 - 2017-02-10 23:38 - 00000000 ____D C:\Users\supas\AppData\Roaming\Opera Software
2017-02-10 20:34 - 2017-02-10 23:38 - 00000000 ____D C:\Users\supas\AppData\Local\Opera Software
2017-02-10 20:33 - 2017-02-10 23:38 - 00000000 ____D C:\Program Files (x86)\Opera
2017-02-10 20:33 - 2017-02-10 20:33 - 00000000 ____D C:\Users\supas\AppData\Roaming\Mozilla
2017-02-10 20:33 - 2017-02-10 20:32 - 00983040 _____ C:\Users\supas\AppData\Roaming\Anzap.exe
2017-02-10 20:32 - 2017-02-10 23:43 - 00000000 ____D C:\Users\supas\AppData\Roaming\Prilecergutain
2017-02-10 20:32 - 2017-02-10 23:42 - 00000000 ____D C:\Program Files\XVQHMNPFFC
2017-02-10 20:32 - 2017-02-10 23:42 - 00000000 ____D C:\Program Files (x86)\Therhisy
2017-02-10 20:32 - 2017-02-10 20:32 - 00000000 ____D C:\Users\supas\AppData\Local\Vertocult
2017-02-10 20:32 - 2017-02-10 20:32 - 00000000 ____D C:\Program Files (x86)\Tuwishprikudom Agent
2017-02-10 20:28 - 2017-02-10 23:43 - 00000000 ____D C:\Users\supas\AppData\Roaming\Climofabech
2017-02-10 20:28 - 2017-02-10 23:43 - 00000000 ____D C:\Program Files (x86)\Gherwaspanasution
2017-02-10 20:28 - 2017-02-10 23:43 - 00000000 ____D C:\Program Files (x86)\Drecaward Client
2017-02-10 20:28 - 2017-02-10 20:28 - 00000000 ____D C:\Users\supas\AppData\Local\Rwaght
2017-02-10 18:44 - 2017-02-10 23:42 - 00000000 __SHD C:\Program Files\Internet Explored
2017-01-21 21:43 - 2017-02-10 23:38 - 00000000 ____D C:\Users\supas\AppData\LocalLow\Unity
2017-01-21 21:43 - 2017-02-10 23:38 - 00000000 ____D C:\Users\supas\AppData\Local\Unity
2017-02-10 20:33 - 2017-02-10 20:32 - 0983040 _____ () C:\Users\supas\AppData\Roaming\Anzap.exe
2017-02-10 20:33 - 2017-02-10 20:33 - 1908765 _____ () C:\Users\supas\AppData\Roaming\Anzap.tst
2017-02-10 20:33 - 2017-02-10 20:33 - 0278519 _____ () C:\Users\supas\AppData\Roaming\It-Eco.bin
2017-02-10 20:34 - 2017-02-10 20:34 - 0032038 _____ () C:\Users\supas\AppData\Roaming\uninstall_temp.ico
2017-01-22 01:01 - 2017-01-22 01:01 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2017-01-21 21:49 - 2017-01-21 21:49 - 0000259 _____ () C:\ProgramData\fontcacheev1.dat
Task: {10388AE0-5338-4A61-8158-18FE92AE58F7} - \Microsoft\DiskOptimizer -> No File <==== ATTENTION
Task: {7A63CA84-2B9B-469A-830F-B410F5DE6E9F} - \Microsoft\Windows\Browser -> No File <==== ATTENTION
Task: {DC275320-6773-462F-88E8-8A7AC0D0B390} - \Microsoft\Browser -> No File <==== ATTENTION
AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [23652]
AlternateDataStreams: C:\Windows\system32\drivers:x64 [1479458]
AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026]
C:\Program Files (x86)\UCBrowser\
C:\Users\supas\AppData\Roaming\gplyra\
CMD: ipconfig /flushdns
CMD: IPCONFIG /release
CMD: IPCONFIG /renew
CMD: RD /S /Q %WinDir%\System32\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\System32\GroupPolicy
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysWOW64\GroupPolicy
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicyUsers
CMD: RD /S /Q %WinDir%\SysNative\GroupPolicy
CMD: gpupdate /force
CMD: bitsadmin /reset /allusers
EmptyTemp:
Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 22:06  [ТС] 9
Готово
Вложения
Тип файла: txt Fixlog.txt (376 байт, 1 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 22:07 10
Fixlist создали в нужном месте, но либо не сохранили, либо не вставили в него скрипт, повторите
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 22:14  [ТС] 11
Извиняюсь
Вложения
Тип файла: txt Fixlog.txt (13.7 Кб, 1 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 22:22 12
Одного крепкого орешка, защищенного драйвером осталось прибить, подготовьте лог uVS: https://www.cyberforum.ru/post6501803.html
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 22:28  [ТС] 13
Надеюсь и с ним закончим)
Вложения
Тип файла: rar DESKTOP-9SKDDG1_2017-02-11_01-25-29.rar (759.6 Кб, 1 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 22:42 14
Выполните скрипт в uVS:

Windows Batch file
;uVS v3.87 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv10.0
v385c
sreg
unload %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:UCDRV-X64.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER\SECURITY:UCDRV-X64.SYS
deldir %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MEDIAGET2
deldir %SystemDrive%\PROGRAM FILES (X86)\UCBROWSER
delall %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delall %SystemDrive%\PROGRAM FILES\ЇМС№\X64\KZIPSHELL.DLL
delall %SystemDrive%\USERS\SUPAS\APPDATA\ROAMING\CLIMOFABECH\GIPPHSAWEGHT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\YOUTUBE ADBLOCK\IEEF\AEKN0WA.DLL
delref KUAIZIP SHELL EXTENSION\[CLSID]
deltmp
areg
restart
Подготовьте новый лог uVS
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 22:53  [ТС] 15
Вроде так
Вложения
Тип файла: rar DESKTOP-9SKDDG1_2017-02-11_01-50-34.rar (752.0 Кб, 1 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 23:00 16
Вот теперь удалился, что с проблемой?
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
10.02.2017, 23:06  [ТС] 17
На первый взгляд решена) Благодарю вас
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
10.02.2017, 23:10 18
Установите антивирус, можно бесплатный

Это Вам для информации:

Кликните здесь для просмотра всего текста
XML
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Adware application designed for displaying ads or redirecting you to advertising websites was detected in files:
service.exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen
randomdeljihereg.exe - not-a-virus:AdWare.Win32.Agent.kdas
msiql.exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen
f8f8.tmp - not-a-virus:HEUR:AdWare.Win32.ConvertAd.gen
autotime.exe - not-a-virus:HEUR:AdWare.Win32.Sokuxuan.gen
 
Malicious application was detected in files:
XVQHMNPFF.exe - HEUR:Trojan.Win32.Generic
UL2PQCDUOUMK2KO.exe - HEUR:Trojan.Win32.Generic
sdiskfinder_0.exe - Trojan-Dropper.Win32.Agent.bjshqz
 
Riskware application which may harm your computer was detected in files:
nettrans.exe - not-a-virus:WebToolbar.Win32.Linkury.aqy
gplyra.exe - not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen
 
Adware application designed for displaying ads or redirecting you to advertising websites was detected in files. Its detection will be included in the next update 11/02/2017 03:29:28:
f913.tmp - not-a-virus:AdWare.Win32.ConvertAd.cech


Напоследок, подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... ersion=838

+

Скачайте Delfix по этой ссылке
Установите галочки напротив следующих пунктов:
  • Activate UAC
  • Remove disinfection tools
  • Create registry backup
  • Purge system restore
Нажмите кнопку Run
0
0 / 0 / 0
Регистрация: 04.03.2016
Сообщений: 23
11.02.2017, 07:35  [ТС] 19
Вот
Вложения
Тип файла: txt DelFix.txt (549 байт, 2 просмотров)
Тип файла: txt SecurityCheck.txt (6.4 Кб, 1 просмотров)
0
Вирусоборец
3786 / 2023 / 321
Регистрация: 04.04.2012
Сообщений: 7,496
11.02.2017, 13:42 20
Про антивирус я уже написал.

Включите брандмауэр:

Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

Обновите:

WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления

Skype™ 7.31 v.7.31.104 Внимание! Скачать обновления
^Необязательное обновление.^

И ознакомьтесь: Рекомендации после удаления вредоносного ПО
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
11.02.2017, 13:42

Сторонние программы самостоятельно устанавливаются на компьютер
Уже неоднократно множество программ сами устанавливаются на компьютер, в браузере сами открываются...

Сами по себе устанавливаются сторонние программы
Здравствуйте! Извините за очередную тему на форуме от нуба. Я недавно шарил в интернете и скачал...

Устанавливаются сторонние программы,выскакивают обновления
Из архива подцепил вирус, устанавливаются такие программы как Интернет, Мэйл, Вконтакте,...

Устанавливаются сторонние программы и открываются новые вкладки с рекламой
Доброе время суток. В последнее время стали устанавливаться сторонние программы типа: WordWizard,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.