Не управляем компьютер, устанавливаются сами левые программы разного типа

ЮрийТайга · 07.07.2016, 20:28

Добрый день .интернет ихплопер вёл себя неодыкватно пришлось удалить , стало полегше. Пользуюсь Орбитой. Так вот что заметил, китайцы начали отакавать с самого утра своими программками . Что то постоянно вылазит(Setup Wizard) , устанавливается( qksee, мейл ру там всякие, браузеры яндекса лезут и подобное) , вобщем жизнь кипит без моего ведома .В диски С вот сколько изменений ( программы которые не удаляются , а если какую удалю то опять устанавливаеться хоть тресни. Вот они 1) 53F359A0-1467194498-11DD-A2BF-08606E8170D2; 2)TData; 3){98121A44-EA7B-4BC5-B477-21720153461C}; 4)2vhxlspx; 5){BC5D444C-B621-46B2-AA1B-0BE4BB1A425B}; 6)WinZipper; 7)qksee; 8)6hf3ali1; 9)Hipfat; 10)WinSaber; 11){2879E389-FC58-4A05-B7F9-99FD00CCE529}; 12)6b8i52ph; 13){FD733E50-39C1-4FB6-8D31-1EB443BCB100}; 14)xd5gir2w; 15){0EC9F326-6705-40D4-8FD7-07C9CFE38617}; 16)2r3l7kmr; 17){E68D101E-2D6D-4776-9C6E-09FCF7994387}; 18)6dzyudfu; 19){50DC9F25-3CE6-45A7-887D-BCB94ED6D50B}; 20)0zx4q68x; 21){903B925D-E5C9-4518-945C-7F7E2457EE5E}; 22)Baidu. я так полагаю завтра будет ещё пополнение . Я тут человеки не знаю с чего начать. Прошу помощи с вредителями , системку хотелосьбы сохранить.

ЮрийТайга · 07.07.2016, 20:39

Лог uVS прикреплён

Гризлик · 07.07.2016, 22:11

Скопируйте код ниже в буфер обмена

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
del %SystemDrive%\FIREFOX.BAT
delref HTTP:\\FOERBAR.RU
delall %SystemDrive%\PROGRAM FILES (X86)\53F359A0-1467194498-11DD-A2BF-08606E8170D2\HNSND02F.TMP
delall %SystemDrive%\PROGRAM FILES (X86)\53F359A0-1467194498-11DD-A2BF-08606E8170D2\JNSXBB17.TMP
delall %SystemDrive%\PROGRAM FILES (X86)\53F359A0-1467194498-11DD-A2BF-08606E8170D2\KNSQC0CA.TMP
delall %SystemDrive%\USERS\ЮРИЙ\APPDATA\LOCAL\TEMP\MSVDN.EXE
del %SystemDrive%\PROGRAM FILES (X86)\TRUEIMAGELAUNCHER.BAT
delref HTTP:\\WWW.NAVSMART.INFO\
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=820511
delall %SystemDrive%\PROGRAM FILES (X86)\PRMT9\CHROME\CHROME EXTENSION.CRX
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKJPMNBENANMFADOHBGMENMDGJFANLPC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBMNLLHADPGCKEPMJPEEKFCFHHFBFMCM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7BF8540304-BB75-436C-9DC7-7FCC9D5CA934%7D&GP=820531
delref HTTP://MAIL.RU/CNT/10445?GP=820521
delref HTTP://WARTHUNDER.RU/RU/GAME/CHANGELOG/CURRENT/1936
delref HTTP://WWW.BAIDU.COM/S?WD={SEARCHTERMS}&IE={INPUTENCODING}&OE={OUTPUTENCODING}&ABAR=2&TN=BAIDUDG&CH=DITUI
delref HTTP://WWW.NAVSMART.INFO/
delref HTTP://ZIVLINGAMER.ORG
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILHAPDFJLMHFDGDBEFPINEBIJMHJIJPN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://MAIL.RU/CNT/11956636?RCIGUC__PARAM__
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\160WIFI\160WIFI.LNK
delall %SystemDrive%\USERS\ЮРИЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\160WIFI.LNK
delall %SystemDrive%\USERS\ЮРИЙ\APPDATA\LOCAL\TEMP\IS-2BBFL.TMP\AUTOTIME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MESA_3D\GAL_ST1.DLL
delall %SystemDrive%\PROGRAMDATA\RENEWALSERVICE\SERVICE.EXE
delall %SystemDrive%\USERS\ЮРИЙ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\SUPERMEGABEST.OEX
del %SystemDrive%\USERS\ЮРИЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\STARTMENU\ИНТЕРНЕТ.LNK
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\160WIFI\卸载160WIFI.LNK
delall %SystemDrive%\USERS\ЮРИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\UC浏览器\卸载UC浏览器.LNK
delall %SystemDrive%\PROGRAM FILES (X86)\TXQQBROWSER\UPDATE\C04795A2C359FD233A40E553C031259E\UPDATE\BROWSERUPDATE.EXE
delall %SystemDrive%\USERS\ЮРИЙ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\QKSEE\QKSEESVC.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\TDATA\TDATA.EXE
delall %SystemDrive%\USERS\ЮРИЙ\APPDATA\LOCAL\HOSTINSTALLER\3904900496_123.EXE
exec32 C:\Program Files (x86)\qksee\uninstall.exe
regt 14
regt 28
regt 29
deltmp
delnfr
restart

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты---Выполнить из буфера обмена. После перезагрузки выложите новый образ автозапуска

ЮрийТайга · 07.07.2016, 23:56

Проделал выше вами написанное вот новое

Гризлик · 08.07.2016, 00:14

Запустите редактор реестра. (Пуск--Выполнить--regedit) Найдите и удалите эти знчения:

Код:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adwcleaner_4.204.exe\Debugger
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AnVir.exe\Debugger              
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoLogger.exe\Debugger                        
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCleaner64.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRST.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRST64.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HiJackThis.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegWorks.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSIT.exe\Debugger                            
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RSITx64.exe\Debugger

Далее:
Скопируйте код ниже в буфер обмена

Код:

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\53F359A0-1467194498-11DD-A2BF-08606E8170D2\KNSFA16D.TMP
deldir %SystemDrive%\PROGRAM FILES (X86)\MESA_3D
deldir %SystemDrive%\PROGRAM FILES (X86)\53F359A0-1467194498-11DD-A2BF-08606E8170D2
deltmp
delnfr
restart

Закройте все браузеры. Запустите UVS под текущим пользователем. В меню: Скрипты---Выполнить из буфера обмена. После перезагрузки выполните сканирование Malwarebytes и выложите полученый лог

ЮрийТайга · 08.07.2016, 00:57

редактор реестра не запускается . Пуск , найти программы и файлы там напечатал regedit и нажал ентер.

Гризлик · 08.07.2016, 01:02

Ладно пока реестр оставьте.
Делайте

Цитата:

Сообщение от Гризлик

После перезагрузки выполните сканирование Malwarebytes и выложите полученый лог

ЮрийТайга · 08.07.2016, 01:40

Это ужас 317 вирусов , как у меня ещё пк работает . вот сохранка

ЮрийТайга · 08.07.2016, 01:42

а то что вирусы были найдены сканированием их можно мне удалить ? Удалить выбранное.

Гризлик · 08.07.2016, 01:49

Вот это

Код:

Процессы: 4
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 4636, , [af82bf62a3f7c37324ca4a1e17e9bb45]
Файлы: 162
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [af82bf62a3f7c37324ca4a1e17e9bb45],

оставьте. Остальное все удалите

Далее выполните чистку в AdwCleaner. После окончания сканирования снимите галочки с записей Yandex (если таковые будут) и нажмите Очистить.
После перезагрузки выложите логи Farbar Recovery Scan Tool

07.07.2016, 20:28	#1 (permalink)
ЮрийТайга Member Регистрация: 07.07.2016 Сообщений: 21 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Не управляем компьютер, устанавливаются сами левые программы разного типа Добрый день .интернет ихплопер вёл себя неодыкватно пришлось удалить , стало полегше. Пользуюсь Орбитой. Так вот что заметил, китайцы начали отакавать с самого утра своими программками . Что то постоянно вылазит(Setup Wizard) , устанавливается( qksee, мейл ру там всякие, браузеры яндекса лезут и подобное) , вобщем жизнь кипит без моего ведома .В диски С вот сколько изменений ( программы которые не удаляются , а если какую удалю то опять устанавливаеться хоть тресни. Вот они 1) 53F359A0-1467194498-11DD-A2BF-08606E8170D2; 2)TData; 3){98121A44-EA7B-4BC5-B477-21720153461C}; 4)2vhxlspx; 5){BC5D444C-B621-46B2-AA1B-0BE4BB1A425B}; 6)WinZipper; 7)qksee; 8)6hf3ali1; 9)Hipfat; 10)WinSaber; 11){2879E389-FC58-4A05-B7F9-99FD00CCE529}; 12)6b8i52ph; 13){FD733E50-39C1-4FB6-8D31-1EB443BCB100}; 14)xd5gir2w; 15){0EC9F326-6705-40D4-8FD7-07C9CFE38617}; 16)2r3l7kmr; 17){E68D101E-2D6D-4776-9C6E-09FCF7994387}; 18)6dzyudfu; 19){50DC9F25-3CE6-45A7-887D-BCB94ED6D50B}; 20)0zx4q68x; 21){903B925D-E5C9-4518-945C-7F7E2457EE5E}; 22)Baidu. я так полагаю завтра будет ещё пополнение . Я тут человеки не знаю с чего начать. Прошу помощи с вредителями , системку хотелосьбы сохранить.

08.07.2016, 01:49	#10 (permalink)
Гризлик Мимо проходил Регистрация: 06.04.2008 Сообщений: 13,130 Сказал(а) спасибо: 21 Поблагодарили 18 раз(а) в 5 сообщениях Репутация: 15356	Вот это Код: Процессы: 4 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 4636, , [af82bf62a3f7c37324ca4a1e17e9bb45] Файлы: 162 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [af82bf62a3f7c37324ca4a1e17e9bb45], оставьте. Остальное все удалите Далее выполните чистку в AdwCleaner. После окончания сканирования снимите галочки с записей Yandex (если таковые будут) и нажмите Очистить. После перезагрузки выложите логи Farbar Recovery Scan Tool

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

08.07.2016, 00:57	#6 (permalink)
ЮрийТайга Member Регистрация: 07.07.2016 Сообщений: 21 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	редактор реестра не запускается . Пуск , найти программы и файлы там напечатал regedit и нажал ентер.

08.07.2016, 01:42	#9 (permalink)
ЮрийТайга Member Регистрация: 07.07.2016 Сообщений: 21 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	а то что вирусы были найдены сканированием их можно мне удалить ? Удалить выбранное.