Начали сами устанавливаться подозрительные программы

[Groznyi313]

Здравствуйте, в общем такая проблема, лазил по просторам интернета и попал на подозрительный сайт ну и разумеется сразу закрыл страничку но успел скачать какой то файл, сразу полез удалять но не тут то было у меня уже куча всяких программ установилось такие как (Амиго, Опера, ВКонтакте и Одноклассники и всякие программы Mail) . В общем все это удалил почистил программкой CCleaner и перезагрузил компьютер, как только компьютер загрузился начали опять вылезать установщики и устанавливаться программы антивирусник орет а толку от него ноль и файл не могу найти откуда все это добро устанавливаться. 

 

[Mark D. Pearlstone]

 

Порядок оформления запроса о помощи

 

[Groznyi313]

Да я знаю, сейчас выложу

Лог

CollectionLog-2016.01.04-18.48.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Admin\AppData\Roaming\ATI\Ctfhost\ctfhost.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe','');
 TerminateProcessByName('c:\programdata\tmp0x0x\protectwindowsmanager.exe');
 TerminateProcessByName('c:\users\admin\appdata\local\gmsd_ru_005010197\upgmsd_ru_005010197.exe');
 TerminateProcessByName('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\vnspb785.tmp');
 QuarantineFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\vnspb785.tmp','');
 QuarantineFile('c:\users\admin\appdata\local\gmsd_ru_005010197\upgmsd_ru_005010197.exe','');
 QuarantineFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','');
 TerminateProcessByName('c:\program files (x86)\03000200-1451347827-0500-0006-000700080009\knsecf7a.tmp');
 TerminateProcessByName('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\knsfd025.tmpfs');
 QuarantineFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\knsfd025.tmpfs','');
 QuarantineFile('c:\program files (x86)\03000200-1451347827-0500-0006-000700080009\knsecf7a.tmp','');
 TerminateProcessByName('c:\program files (x86)\gmsd_ru_005010197\gmsd_ru_005010197.exe');
 QuarantineFile('c:\program files (x86)\gmsd_ru_005010197\gmsd_ru_005010197.exe','');
 TerminateProcessByName('c:\users\admin\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe');
 DeleteFile('c:\users\admin\appdata\local\amigo\application\44.4.2403.3\amigo_cr.exe','32');
 DeleteFile('c:\program files (x86)\gmsd_ru_005010197\gmsd_ru_005010197.exe','32');
 DeleteFile('c:\program files (x86)\03000200-1451347827-0500-0006-000700080009\knsecf7a.tmp','32');
 DeleteFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\knsfd025.tmpfs','32');
 DeleteFile('c:\programdata\tmp0x0x\protectwindowsmanager.exe','32');
 DeleteFile('c:\users\admin\appdata\local\gmsd_ru_005010197\upgmsd_ru_005010197.exe','32');
 DeleteFile('c:\program files (x86)\03000200-1451919194-0500-0006-000700080009\vnspb785.tmp','32');
 DeleteFile('C:\Users\Admin\AppData\Local\MediaGet2\mediaget.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','Update');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010197.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010197');
 DeleteFile('C:\Users\Admin\AppData\Roaming\ASPackage\ASPackage.exe','32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\ATI\Ctfhost\ctfhost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\CTF Host','64');
 DeleteFile('C:\Users\Admin\appdata\roaming\aspackage\uninstall.exe','32');
 BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке

 

 

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Groznyi313]

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

ctfhost.exe - not-a-virus:RiskTool.Win64.BitCoinMiner.aar

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

ASPackage.exe - not-a-virus:AdWare.Win32.Vopak.aujz
vnspb785.tmp - not-a-virus:AdWare.Win32.Vopak.auka
gmsd_ru_005010197.exe - not-a-virus:AdWare.Win32.Eorezo.beay

Это файлы от рекламной системы. Детектирование файлов будет добавлено в следующее обновление баз.

upgmsd_ru_005010197.exe,
protectwindowsmanager.exe,
knsfd025.tmpfs,
knsecf7a.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию

 

 

 [KLAN-3550980842]

ClearLNK-04.01.2016_22-11.log

[thyrex]

Дочитывайте до конца

Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи

[Groznyi313]

Вот лог

CollectionLog-2016.01.05-00.59.zip

[thyrex]

Сделайте лог полного сканирования МВАМ

[Groznyi313]

Вот

Лог.txt

[thyrex]

Удалите в МВАМ все найденное

[Groznyi313]

Удалил уже

[Sandor]

Что с проблемой?

[Groznyi313]

Да пока все нормально, сейчас перезагружу посмотрим

[thyrex]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

 

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[Groznyi313]

Вот, вреде то что просили

Лог.rar