Похоже aspackage

[Йомка]

Доброго! После простоя компьютера начал визжать KIS о вирусах из папки ***\AppData\Local\Temp. Касперский пытается удалить и лечить с перезагрузкой, но увы. В папке темп за час появляется до 15000 файлов. в диспечере помимо aspackage повылазила куча процессов. Периодически всплывает WizardSetup /WizardUpdaye и устанавливает всё подряд + намекает на обновления приложений, установленных на ПК. Так еже добавлены новые вкладки мейл и  яндекс, стартовая мейл и куча расширений для хрома. 

CollectionLog-2016.01.07-22.37.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\NikaStar\appdata\roaming\daemon2.exe','');
 QuarantineFile('C:\Users\NikaStar\AppData\Local\Hostinstaller\820468936_monster.exe','');
 StopService('zutuzuni');
 StopService('syfonejuzbt');
 StopService('rowugoqo');
 DeleteService('zutuzuni');
 DeleteService('syfonejuzbt');
 DeleteService('rowugoqo');
 TerminateProcessByName('c:\users\nikastar\appdata\local\03de0294-1452197037-05c1-c706-170700080009\snsbba23.tmp');
 QuarantineFile('c:\users\nikastar\appdata\local\03de0294-1452197037-05c1-c706-170700080009\snsbba23.tmp','');
 TerminateProcessByName('c:\program files (x86)\03de0294-1452182583-05c1-c706-170700080009\knsbec81.tmpfs');
 QuarantineFile('c:\program files (x86)\03de0294-1452182583-05c1-c706-170700080009\knsbec81.tmpfs','');
 TerminateProcessByName('c:\program files (x86)\03de0294-1451141201-05c1-c706-170700080009\jnsa12aa.tmp');
 QuarantineFile('c:\program files (x86)\03de0294-1451141201-05c1-c706-170700080009\jnsa12aa.tmp','');
 DeleteFile('c:\program files (x86)\03de0294-1451141201-05c1-c706-170700080009\jnsa12aa.tmp','32');
 DeleteFile('c:\program files (x86)\03de0294-1452182583-05c1-c706-170700080009\knsbec81.tmpfs','32');
 DeleteFile('c:\users\nikastar\appdata\local\03de0294-1452197037-05c1-c706-170700080009\snsbba23.tmp','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gmsd_ru_005010200');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\RunOnce','upgmsd_ru_005010200.exe');
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010200\gmsd_ru_005010200.exe','32');
 DeleteFile('C:\Users\NikaStar\AppData\Local\gmsd_ru_005010200\upgmsd_ru_005010200.exe','32');
 DeleteFile('C:\Windows\Tasks\Digital Sites.job','32');
 DeleteFile('C:\Users\NikaStar\AppData\Local\Hostinstaller\820468936_monster.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Soft installer','64');
 DeleteFile('C:\Users\NikaStar\appdata\roaming\daemon2.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com.

1. В заголовке письма напишите "Запрос на исследование вредоносного файла".

2. В письме напишите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина и нажмите "Отправить"

4. Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Сделайте новые логи Автологгером. 

 

 

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

• Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

 

[Йомка]

 [KLAN-3567950713]

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

daemon2.exe - not-a-virus:WebToolbar.Win32.Neobar.h

Это - потенциально опасное ПО. Детектирование файла будет добавлено в следующее обновление.

820468936_monster.exe,
snsbba23.tmp,
jnsa12aa.tmp

Получен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию.

 

 

С уважением, Лаборатория Касперского

 

 

-----------------------------------------------------------------------

 

 

При повторном сканировании автологгером опять запустилась куча установок. В частности WizardUpdater + затемненный экран. Так же установилась программа GamesDescktop. Далее открылось новое окно IE со страницей cdn.freefamed.com/ (Install Media Downloader)

 

 

 

CollectionLog-2016.01.08-14.34.zip

AdwCleanerS1.txt

[mike 1]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan", а по окончанию сканирования нажмите кнопку "Очистить" ("Clean") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

[Йомка]

просканировал, очистил, перезагрузил. 

касперский пожаловался на папку C:\Users\NikaStar\AppData\Local\Temp, удалил 3 угрозы и пока молчит.

AdwCleanerC1.txt

Изменено 8 января, 2016 пользователем Йомка

[Roman_Five]

повторите новый лог AdwCleaner
не всё удалилось.

[Йомка]

повторите новый лог AdwCleaner

не всё удалилось.

готово

AdwCleanerS4.txt

[Roman_Five]

(
новые записи.

удаляйте всё в AdwCleaner и приложите лог MBAM
 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

[Йомка]

(

новые записи.

 

удаляйте всё в AdwCleaner и приложите лог MBAM

 

http://forum.kasperskyclub.ru/index.php?showtopic=7611&do=findComment&comment=635256

доброго!

123.txt

[thyrex]

Удалите в МВАМ только

PUP.Optional.ConvertAd, C:\Users\NikaStar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3H6A1NQV\dl[1].htm, , [8ea60f282376fb3bac349490ea18ca36],
PUP.Optional.CheckOffer, C:\Users\NikaStar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3H6A1NQV\VuuPC_VO2_8907[1].exe, , [d85ca88faaeffa3c8dd1c9418f721ee2],
PUP.Optional.ConvertAd, C:\Users\NikaStar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G20J8P42\JOSrv[1].exe, , [e54f2f088f0a14225377361024deed13],
PUP.Optional.Bundler, C:\Users\NikaStar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G20J8P42\FinalInstaller_dotnet4[1].exe, , [1d17af88168359dd4fddad83916f25db],
PUP.Optional.PreInstaller, C:\Users\NikaStar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G20J8P42\setup_362[1].exe, , [969ef7405247033344e73ff57e839d63],
Adware.ConvertAd, C:\Users\NikaStar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N7O0FMRS\22EAZ[1].exe, , [181cab8ce1b876c0c08f8a1293714cb4],
Adware.EoRezo, C:\Users\NikaStar\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\N7O0FMRS\setup_gmsd_ru[1].exe, , [55df95a2425741f5d69f20a828d9a35d],
PUP.Optional.SupTab, C:\Users\NikaStar\AppData\Roaming\{3D2B3714-F20B-486C-81A2-1949BAE31CF2}_AZ\{50472A36-E0E1-4508-9D19-10C009DF99E4}_DYG\tmp\SupTab_v5.8.8.777_noblank_amy.exe, , [50e4a097b8e10333b18eda54ac54d52b],
PUP.Optional.WindowsProtectManger, C:\Users\NikaStar\AppData\Roaming\{3D2B3714-F20B-486C-81A2-1949BAE31CF2}_AZ\{50472A36-E0E1-4508-9D19-10C009DF99E4}_DYG\tmp\wpm_v20.0.0.1277.exe, , [ee462d0a3168112517eb50e6dc25c040],
Adware.EoRezo, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RN3N8O2.tmp, , [49eb71c62e6bb77ff97c794f3fc244bc],
PUP.Optional.ConvertAd, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RYTTKPX.tmp, , [1f157eb93861c571351e6f601ae75fa1],
PUP.Optional.Bundler, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$R3OXY4C.exe, , [9d973700c0d993a3082490a011ef05fb],
PUP.Optional.ConvertAd, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RIQFLDV.tmp, , [50e42f083b5e05319ab9bf107889d32d],
PUP.Optional.ConvertAd, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RBX0L93.tmp, , [1e1692a5e7b236006fe4e7e802ff2ed2],
PUP.Optional.ConvertAd, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RN8C5KI.tmp, , [bd7784b31d7c82b48f510d17b151b24e],
Adware.EoRezo, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RBNJAEK.tmp, , [8da788afedac71c53045c008966b4fb1],
PUP.Optional.PreInstaller, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RBTXEOE.tmp, , [fe36999ea6f3b1851f0c83b13ac77a86],
PUP.Optional.InstallCore, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$R480NQ8.exe, , [3df7fe39a6f3e84e3a63557bcd3435cb],
PUP.Optional.ConvertAd, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RZKC8FJ\ASPackage.exe, , [043063d4f4a5fb3b2683c50a45bc9967],
Adware.EoRezo, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$RC3RWM5.tmp\465.exe, , [e3510d2a9702b581ac077f4b8b7615eb],
PUP.Optional.SilentInstaller, C:\$Recycle.Bin\S-1-5-21-732266228-3996130981-2820164025-1000\$R0Z3VYY\OfferInstaller.exe, , [b183de596732072ff02cc482aa566898],
PUP.Optional.ConvertAd, C:\AdwCleaner\Quarantine\C\Program Files (x86)\03DE0294-1452182583-05C1-C706-170700080009\jnsw516.tmp.vir, , [1f15a7903663ba7c2c9e1d29659d758b],
PUP.Optional.Tuto4PC, C:\AdwCleaner\Quarantine\C\Program Files (x86)\gmsd_ru_005010200\gmsd_ru_005010200 - uninstall.exe.vir, , [ce66db5c4f4a6fc78b212ea1d9282bd5],
Adware.EoRezo, C:\AdwCleaner\Quarantine\C\Program Files (x86)\gmsd_ru_005010200\gmsd_ru_005010200.exe.vir, , [4ee6d7609504b1852d0ad7ad0df455ab],
Adware.EoRezo, C:\AdwCleaner\Quarantine\C\Users\NikaStar\AppData\Local\gmsd_ru_005010200\upgmsd_ru_005010200.exe.vir, , [e74de94e425745f1871c98297a87f907],
PUP.Optional.Tuto4PC, C:\AdwCleaner\Quarantine\C\Users\NikaStar\AppData\Local\gmsd_ru_005010200\Download\myoffergroup_ru.exe.vir, , [14205cdb3b5ecb6bd94e099b847d02fe],
PUP.Optional.ConvertAd, D:\Хром\avz4\avz4\Quarantine\2016-01-08\avz00004.dta, , [280c00379bfe9f9718b2e0667c866c94],

[Йомка]

 

Удалите в МВАМ только

...

Удалил, вроде пока касперский молчит.

Какие-то еще манипуляции делать нужно?

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Йомка]

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Доброго!

FRST.txt

Addition.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

CHR StartupUrls: Default -> "","hxxp://www.google.ru/","hxxp://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST9320320AS_5SX3DP3ZXXXX5SX3DP3Z&ts=1384174885","hxxp://myhome.vi-view.com/?type=hp&ts=1417437247&from=cor&uid=3219913727_198339_30E75CC8","hxxp://mail.ru/cnt/10445?gp=820031","hxxp://mail.ru/cnt/10445?gp=820473"

CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\NikaStar\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ppoilmfkbpckodoifdlkmkepcajfjmhl [2016-01-03]

CHR HKU\S-1-5-21-732266228-3996130981-2820164025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-732266228-3996130981-2820164025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-732266228-3996130981-2820164025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx

CHR HKU\S-1-5-21-732266228-3996130981-2820164025-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [bhbldcgbjblipegbeclmcnnddnopnhjm] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [bhjcgomkanpkpblokebecknhahgkcmoo] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [eioddfaepdoeifbhjphfefgipcjcdieo] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [iflppbjnpneiigcbdfjpnkebidmkjmoi] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [ppoilmfkbpckodoifdlkmkepcajfjmhl] - hxxps://clients2.google.com/service/update2/crx

2015-12-26 18:47 - 2015-12-27 10:58 - 00000000 ____D C:\Users\NikaStar\AppData\LocalLow\Unity

2015-12-26 18:47 - 2015-12-27 10:58 - 00000000 ____D C:\Users\NikaStar\AppData\Local\Unity

2015-12-26 18:47 - 2015-12-26 18:47 - 00000000 ____D C:\Users\NikaStar\AppData\Roaming\MailProducts

2015-12-26 18:47 - 2015-06-23 18:18 - 00001466 _____ C:\Windows\system32\Drivers\etc\hp.bak

2015-12-26 18:46 - 2015-12-26 18:46 - 00000000 ____D C:\ProgramData\{BAF091CA-86C4-4627-ADA1-897E2621C1B0}

2015-12-26 18:45 - 2016-01-08 13:46 - 00000000 ____D C:\Users\NikaStar\AppData\Local\Hostinstaller

2015-12-26 18:45 - 2016-01-07 20:06 - 00000179 _____ C:\Users\NikaStar\Desktop\Искать в Интернете.url

2015-12-26 18:45 - 2015-12-26 18:48 - 00000000 ____D C:\Users\NikaStar\AppData\Roaming\Calculator

EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

 

 

[Йомка]

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

...

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

 

готово