Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:
 

Название темы: вылезает постоянно этот инсталлер.
Показать сообщение отдельно

Ветеран


Консультант


Сообщения: 1514
Благодарности: 413

Профиль | Отправить PM | Цитировать

Цитата Айрат_Рахимов@vk:
лог комбофикса не знаю, где найти. Подскажите, пожалуйста. »
C:\ComboFix.txt.
Цитата Айрат_Рахимов@vk:
Запускал для удаления каких-то вирусов, не помню. »
Без прямого указания хелпера его запускать нельзя. Можно систему убить.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\temp\3aff.exe');
 TerminateProcessByName('c:\windows\temp\9aba.tmp');
 TerminateProcessByName('c:\windows\temp\a25b.tmp');
 TerminateProcessByName('C:\TEMP\fsdB829.exe');
 TerminateProcessByName('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\hnsg6866.tmp');
 TerminateProcessByName('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\jnsw49ae.tmp');
 TerminateProcessByName('c:\program files (x86)\0e7dce20-1455276182-11d5-ad56-5404a6f203ee\knsk7fc6.tmp');
 TerminateProcessByName('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\knsw26ec.tmpfs');
 TerminateProcessByName('c:\users\pc\appdata\local\0e7dce20-1455892959-11d5-ad56-5404a6f203ee\qnsqbe62.tmp');
 TerminateProcessByName('c:\users\pc\appdata\local\0e7dce20-1455892385-11d5-ad56-5404a6f203ee\snsw2148.tmp');
 TerminateProcessByName('c:\program files (x86)\sfk\ssfk.exe');
 TerminateProcessByName('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\vnsl7578.tmp');
 TerminateProcessByName('c:\programdata\dwdmd\wdman.exe');
 StopService('mihirekezbt');
 StopService('rowugoqo');
 StopService('sytoqulozbt');
 StopService('WdMan');
 StopService('wucotusy');
 StopService('zigipyro');
 StopService('zutuzuni');
 QuarantineFileF('c:\program files (x86)\sfk', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\dwdmd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFile('c:\temp\3aff.exe', '');
 QuarantineFile('c:\windows\temp\9aba.tmp', '');
 QuarantineFile('c:\windows\temp\a25b.tmp', '');
 QuarantineFile('C:\TEMP\fsdB829.exe', '');
 QuarantineFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\hnsg6866.tmp', '');
 QuarantineFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\jnsw49ae.tmp', '');
 QuarantineFile('c:\program files (x86)\0e7dce20-1455276182-11d5-ad56-5404a6f203ee\knsk7fc6.tmp', '');
 QuarantineFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\knsw26ec.tmpfs', '');
 QuarantineFile('c:\users\pc\appdata\local\0e7dce20-1455892959-11d5-ad56-5404a6f203ee\qnsqbe62.tmp', '');
 QuarantineFile('c:\users\pc\appdata\local\0e7dce20-1455892385-11d5-ad56-5404a6f203ee\snsw2148.tmp', '');
 QuarantineFile('c:\program files (x86)\sfk\ssfk.exe', '');
 QuarantineFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\vnsl7578.tmp', '');
 QuarantineFile('c:\programdata\dwdmd\wdman.exe', '');
 QuarantineFile('C:\TEMP\nsqDDA4.tmp\IpConfig.dll', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 12.11 1661.lnk.12.11.bak', '');
 QuarantineFile('C:\Users\PC\AppData\Roaming\ASPackage\ASPackage.exe', '');
 QuarantineFile('C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft [Portable].lnk', '');
 QuarantineFile('C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Offline.lnk', '');
 QuarantineFile('C:\Users\PC\AppData\Roaming\McPortable.bat', '');
 QuarantineFile('C:\Users\PC\AppData\Roaming\Offline.bat', '');
 DeleteFile('C:\Users\PC\AppData\Roaming\McPortable.bat', '');
 DeleteFile('C:\Users\PC\AppData\Roaming\Offline.bat', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 12.11 1661.lnk.12.11.bak');
 DeleteFile('c:\temp\3aff.exe', '32');
 DeleteFile('c:\windows\temp\9aba.tmp', '32');
 DeleteFile('c:\windows\temp\a25b.tmp', '32');
 DeleteFile('C:\Users\PC\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.ico');
 DeleteFile('C:\TEMP\fsdB829.exe', '32');
 DeleteFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\hnsg6866.tmp', '32');
 DeleteFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\jnsw49ae.tmp', '32');
 DeleteFile('c:\program files (x86)\0e7dce20-1455276182-11d5-ad56-5404a6f203ee\knsk7fc6.tmp', '32');
 DeleteFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\knsw26ec.tmpfs', '32');
 DeleteFile('c:\users\pc\appdata\local\0e7dce20-1455892959-11d5-ad56-5404a6f203ee\qnsqbe62.tmp', '32');
 DeleteFile('c:\users\pc\appdata\local\0e7dce20-1455892385-11d5-ad56-5404a6f203ee\snsw2148.tmp', '32');
 DeleteFile('c:\program files (x86)\sfk\ssfk.exe', '32');
 DeleteFile('c:\program files (x86)\0e7dce20-1455881370-11d5-ad56-5404a6f203ee\vnsl7578.tmp', '32');
 DeleteFile('c:\programdata\dwdmd\wdman.exe', '32');
 DeleteFile('C:\TEMP\nsqDDA4.tmp\IpConfig.dll', '32');
 DeleteFile('C:\Users\PC\AppData\Roaming\ASPackage\ASPackage.exe', '32');
 DeleteService('mihirekezbt');
 DeleteService('rowugoqo');
 DeleteService('sytoqulozbt');
 DeleteService('WdMan');
 DeleteService('wucotusy');
 DeleteService('zigipyro');
 DeleteService('zutuzuni');
 DeleteFileMask('c:\program files (x86)\sfk', '*', true);
 DeleteFileMask('c:\programdata\dwdmd', '*', true);
 DeleteDirectory('c:\program files (x86)\sfk');
 DeleteDirectory('c:\programdata\dwdmd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Update');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: Выделить весь код
O4 - MSConfig..HKLM: 2012/10/13 [Comrade.exe] C:\Program Files (x86)\GameSpy\Comrade\Comrade.exe (no file)
O4 - MSConfig..HKLM: 2012/10/13 [Praetorian] C:\Users\PC\AppData\Local\Yandex\Updater\praetorian.exe (no file)
O4 - MSConfig..HKLM: 2012/10/13 [Skymonk2] C:\Users\PC\AppData\Local\Skymonk2\skymonk2.exe -tray (no file)
O4 - MSConfig..HKLM: 2012/10/13 [TBPanel] C:\Program Files (x86)\Vtune\TBPanel.exe /A (no file)
O4 - MSConfig..HKLM: 2013/03/24 [RemoteControl8] "C:\Program Files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" (no file)
O4 - MSConfig..HKLM: 2013/03/24 [icq] C:\Users\PC\AppData\Roaming\ICQM\icq.exe -CU (no file)
O4 - MSConfig..HKLM: 2013/11/09 [Philips Device Listener] "C:\Program Files (x86)\Philips\Philips Songbird Resources\Autolauncher\PhilipsDeviceListener.exe" (no file)
O4 - MSConfig..HKLM: 2015/02/20 [Обнови Софт] "C:\Program Files (x86)\Obnovi Soft\ObnoviSoft.exe" -startup (no file)
O4 - MSConfig..HKLM: 2015/07/08 [KillCopy] "C:\Windows\system32\killcopy.exe" /kcresume /startup (no file)
O4 - MSConfig..HKLM: 2015/07/08 [RazerGameBooster] C:\Program Files (x86)\Razer\Razer Game Booster\RazerGameBooster.exe -autorun (no file)
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код: Выделить весь код
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft [Portable].lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Offline.lnk
C:\Users\UpdatusUser\Desktop\AIDA64 Extreme.lnk
C:\Users\Администратор\Desktop\AIDA64 Extreme.lnk
C:\Users\Default\Desktop\AIDA64 Extreme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tv-Plug-In\Tv-Plug-In.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Universal Driver Updater\Universal Driver Updater.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Легенда - Наследие Драконов (Chrome)\Удалить Легенда - Наследие Драконов.lnk
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

-------

Отправлено: 13:07, 28-02-2016 | #10

Название темы: вылезает постоянно этот инсталлер.