Закрыто Проблема с вирусом Install Wizard

Тема в разделе "Лечение компьютерных вирусов", создана пользователем borecart, 31 дек 2015.

Метки:
Статус темы:
Закрыта.
  1. borecart
    Оффлайн

    borecart Пользователь

    Сообщения:
    120
    Симпатии:
    1
    Всем доброго времени суток. Вчера начали всплывать окна Install Wizard, в которых предлагается скачать последние версии установленных на ноутбуке программ. Знаю, что это вредоносное ПО, поэтому и обращаюсь к вам. Скачал программу UPlay, а вместе с ней (вроде бы именно с ней, но точно утверждать не могу) установило кучу иных программок, в том числе и китайских. Все это по удалял, но сегодня при включении компьютера некоторые снова установились, пришлось повторить удаление. Все папки IoBit, которые нашел, я поудалял. Не помогло. Жду помощи и всех с наступающим!
     
  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
     
    Kиpилл нравится это.
  3. borecart
    Оффлайн

    borecart Пользователь

    Сообщения:
    120
    Симпатии:
    1
    Вот логи, которые с программы AutoLogger
     

    Вложения:

  4. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Здравствуйте!

    если сами не ставили, то деинсталируйте.

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    TerminateProcessByName('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\hnsmea74.tmp');
    TerminateProcessByName('C:\Users\user\AppData\Local\Temp\is-IPS2N.tmp\InstallManager.exe');
    TerminateProcessByName('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\jnsmcf54.tmp');
    TerminateProcessByName('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\knsfb22b.tmp');
    TerminateProcessByName('c:\users\user\appdata\local\temp\nsr27c0.tmp');
    TerminateProcessByName('c:\users\user\appdata\local\temp\nsr4bbf.tmp');
    TerminateProcessByName('c:\users\user\appdata\local\temp\20151231103727\i\qqbrowser.exe');
    TerminateProcessByName('c:\programdata\applicationhosting\applicationhosting.exe');
    StopService('wucotusy');
    StopService('zutuzuni');
    StopService('pupivyhi');
    StopService('ginoquci');
    QuarantineFileF('C:\Users\user\AppData\Roaming\WindowsUpdater\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
    QuarantineFile('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\hnsmea74.tmp', '');
    QuarantineFile('C:\Users\user\AppData\Local\Temp\is-IPS2N.tmp\InstallManager.exe', '');
    QuarantineFile('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\jnsmcf54.tmp', '');
    QuarantineFile('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\knsfb22b.tmp', '');
    QuarantineFile('c:\users\user\appdata\local\temp\nsr27c0.tmp', '');
    QuarantineFile('c:\users\user\appdata\local\temp\nsr4bbf.tmp', '');
    QuarantineFile('c:\programdata\camycilop\camycilop.exe', '');
    QuarantineFile('c:\programdata\applicationhosting\applicationhosting.exe', '');
    QuarantineFile('c:\users\user\appdata\local\temp\20151231103727\i\qqbrowser.exe', '');
    QuarantineFile('C:\Users\user\AppData\Local\Temp\20151231103727\i\Update.dll', '');
    QuarantineFile('C:\Program Files (x86)\95F2A380-1448578170-81E1-2888-10BF4829E4A1\hnsn7012.tmp', '');
    DeleteFile('c:\programdata\applicationhosting\applicationhosting.exe', '32');
    DeleteFile('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\hnsmea74.tmp', '32');
    DeleteFile('C:\Users\user\AppData\Local\Temp\is-IPS2N.tmp\InstallManager.exe', '32');
    DeleteFile('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\jnsmcf54.tmp', '32');
    DeleteFile('c:\program files (x86)\95f2a380-1451520420-81e1-2888-10bf4829e4a1\knsfb22b.tmp', '32');
    DeleteFile('c:\users\user\appdata\local\temp\nsr27c0.tmp', '32');
    DeleteFile('c:\users\user\appdata\local\temp\nsr4bbf.tmp', '32');
    DeleteFile('c:\users\user\appdata\local\temp\20151231103727\i\qqbrowser.exe', '32');
    DeleteFile('C:\Users\user\AppData\Local\Temp\20151231103727\i\Update.dll', '32');
    DeleteFile('C:\Program Files (x86)\95F2A380-1448578170-81E1-2888-10BF4829E4A1\hnsn7012.tmp', '32');
    ExecuteFile('schtasks.exe', '/delete /TN "WindowsUpdater" /F', 0, 15000, true);
    DeleteService('pupivyhi');
    DeleteService('ginoquci');
    DeleteService('wucotusy');
    DeleteService('zutuzuni');
    DeleteService('ryrojiry');
    DeleteFileMask('C:\Users\user\AppData\Roaming\WindowsUpdater\', '*', true);
    DeleteDirectory('C:\Users\user\AppData\Roaming\WindowsUpdater\');
    DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
    DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
    DelBHO('{18DF081C-E8AD-4283-A596-FA578C2EBDC3}');
    DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
    DelBHO('{8E8F97CD-60B5-456F-A201-73065652D099}');
    DelBHO('{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}');
    DelBHO('{72853161-30C5-4D22-B7F9-0BBC1D38A37E}');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
    ExecuteRepair(13);
    ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
     
    после выполнения скрипта компьютер перезагрузится.
    после перезагрузки выполнить второй скрипт:

    Код (Text):
    begin
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.
    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S1].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    Kиpилл нравится это.
  5. borecart
    Оффлайн

    borecart Пользователь

    Сообщения:
    120
    Симпатии:
    1
    Воспользовался программой AdwCleaner. Проблема исчезла.
     
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    borecart,
    1) Не первый день на сайте, пора бы знать что внизу есть кнопка для быстрого ответа. Не надо целиком пост цитировать. Это осложняет чтение.
    2)
    Где лог и всё остальное?
     
    Kиpилл нравится это.
  7. borecart
    Оффлайн

    borecart Пользователь

    Сообщения:
    120
    Симпатии:
    1
    Воспользоваться еще раз и скинуть вам логи от AdwCleaner?
    Вот он.
     

    Вложения:

    Последнее редактирование: 2 янв 2016
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    можно было просто вниманительно прочитать моё сообщение. Там написано, где сохраняется лог. Это вы повторно сканированили? По нему видно, что с первого раза вы не всё вычистили.

    + Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
     
  9. borecart
    Оффлайн

    borecart Пользователь

    Сообщения:
    120
    Симпатии:
    1
    Да, это второе сканирование.
    Сделал, вот лог.
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Здравствуйте!

    Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

    Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

    Код (Text):

    begin
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    ClearQuarantineEx(true);
    QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
    QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk', '');
    QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\1ec0f72738fb119e\iMacros for Chrome.lnk', '');
    QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mail.Ru.lnk', '');
    QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk', '');
    QuarantineFile('C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera 34.lnk', '');
    QuarantineFile('C:\Users\user\Desktop\ПРОГРАМИ\Mozilla Firefox.lnk', '');
    QuarantineFile('C:\Users\user\Desktop\ПРОГРАМИ\Opera 34.lnk', '');
    QuarantineFile('C:\Users\user\Desktop\ПРОГРАМИ\Opera.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 34.lnk', '');
    QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk', '');
    QuarantineFile('C:\ProgramData\RKUzjkd\jSYMxfUGAvIQW0.bat', '');
    QuarantineFile('C:\ProgramData\HoClnFndClMfMby\bGsmbVjavFkuNQC5.bat', '');
    QuarantineFile('C:\ProgramData\gVJIuYzR\WImGtOokJDw4.bat', '');
    QuarantineFile('C:\ProgramData\WJBYNqDBdC\RmSJdXEazQz3.bat', '');
    QuarantineFile('C:\ProgramData\hsGsdWxMY\FSKCqFFlZd3.bat', '');
    QuarantineFile('C:\ProgramData\SIwXEMO\GMHJiaW3.bat', '');
    QuarantineFileF('C:\ProgramData\RKUzjkd', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\HoClnFndClMfMby', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\gVJIuYzR', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\WJBYNqDBdC', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\hsGsdWxMY', '*', true, '', 0, 0);
    QuarantineFileF('C:\ProgramData\SIwXEMO', '*', true, '', 0, 0);
    QuarantineFileF('C:\Users\user\appdata\roaming\windowsupdater\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
    QuarantineFile('C:\Users\user\appdata\roaming\windowsupdater\updater.exe', '');
    DeleteFile('C:\ProgramData\RKUzjkd\jSYMxfUGAvIQW0.bat', '');
    DeleteFile('C:\ProgramData\HoClnFndClMfMby\bGsmbVjavFkuNQC5.bat', '');
    DeleteFile('C:\ProgramData\gVJIuYzR\WImGtOokJDw4.bat', '');
    DeleteFile('C:\ProgramData\WJBYNqDBdC\RmSJdXEazQz3.bat', '');
    DeleteFile('C:\ProgramData\hsGsdWxMY\FSKCqFFlZd3.bat', '');
    DeleteFile('C:\ProgramData\SIwXEMO\GMHJiaW3.bat', '');
    DeleteFile('C:\Users\user\appdata\roaming\windowsupdater\updater.exe', '32');
    DeleteFileMask('C:\ProgramData\RKUzjkd', '*', true);
    DeleteFileMask('C:\ProgramData\HoClnFndClMfMby', '*', true);
    DeleteFileMask('C:\ProgramData\gVJIuYzR', '*', true);
    DeleteFileMask('C:\ProgramData\WJBYNqDBdC', '*', true);
    DeleteFileMask('C:\ProgramData\hsGsdWxMY', '*', true);
    DeleteFileMask('C:\ProgramData\SIwXEMO', '*', true);
    DeleteDirectory('C:\ProgramData\RKUzjkd');
    DeleteDirectory('C:\ProgramData\HoClnFndClMfMby');
    DeleteDirectory('C:\ProgramData\gVJIuYzR');
    DeleteDirectory('C:\ProgramData\WJBYNqDBdC');
    DeleteDirectory('C:\ProgramData\hsGsdWxMY');
    DeleteDirectory('C:\ProgramData\SIwXEMO');
    CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteRepair(3);
    end.
     
    после выполнения скрипта компьютер перезагрузится.

    Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

    - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
    --- Объединённое сообщение, 6 янв 2016, Дата первоначального сообщения: 6 янв 2016 ---
    + Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
    1. Запустите AVZ.
    2. Выполните обновление баз (Меню Файл - Обновление баз)
    3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
    4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
    5. Закачайте полученный архив, как описано на этой странице.
    6. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
     
  11. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.476
    Симпатии:
    4.305
    Здравствуйте, borecart.

    Пожалуйста, нажмите Win + R, введите cmd
    ОК, затем в черном окне:
    Код (Text):
    echo %SNP%
    и кнопку ENTER.

    Сообщите ответ, поступившей от команды.
     
Статус темы:
Закрыта.

Поделиться этой страницей