Самоустанавливающиеся программы

[klaiperon]

Дядька что-то подхватил,начали самопроизвольно ставится программы,бары,панели и стартовые страницы вот лог uVs http://rghost.ru/8NCwvN6xB

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
addsgn 1A99DB9A5583C58CF42B254E3143FE54A6EF00F6DF775A84D53CB0B0AFA379A4D2BBC357B5A51E8D270572EA5E2F0C0609CC008141DAB0A9ED03AEC72D122273 8 Trojan.LoadMoney.681 [DrWeb]

zoo %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\5E5AC6AC-1440343394-11DF-9302-4080BF0CF023\SNSP9E63.TMP
addsgn 1A72389A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B8C329771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Adware.ConvertAd

zoo %SystemDrive%\USERS\ВОВАН\APPDATA\ROAMING\ETRANSLATOR\ETRANSLATOR.EXE
addsgn A7679B1991867FB28291420914246405CDDDE53F76C9DF2DED1812CB50B28E7C479EE3BF2EC055B6AE40F1AFAE5DC215825B28077557E5C01EB74C7652CEDDF8 13 Win32/eTranslatorPro

addsgn 1A452B9A5583C58CF42B518480D95005DA9F7456C8FA9AB8F1C13A6C3ACF99577217C33D3F3F9DA1839E849FC5D2451310C1E872DE25E5A7C1F4480F4C432A25 64 ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\5E5AC6AC-1440332540-11DF-9302-4080BF0CF023\HNSZ22AE.TMP
addsgn 1ACB319A5583C58CF42BC8BE8B084356AE4B7F16867FDF0DFA48073FB2A9B0A42463F4DA9A719D492B80E29039172FF5029EF8145AA5F10C4B78DB6EF7602D0C 64 ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\5E5AC6AC-1440332540-11DF-9302-4080BF0CF023\JNSK869.TMP
addsgn 1AD2179A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BB4229571C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\5E5AC6AC-1440332540-11DF-9302-4080BF0CF023\KNSKEC0D.TMPFS
delall %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\TEMP\RXVUQY3YZIQW.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 64 Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\5E5AC6AC-1440332540-11DF-9302-4080BF0CF023\VNSKDE6F.TMP
zoo %SystemDrive%\USERS\ВОВАН\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
zoo E:\GERMAN TRUCK SIMULATOR\UNINST.EXE
hide E:\GERMAN TRUCK SIMULATOR\UNINST.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED PREMIUM\UNINSTALL.EXE
delall %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\TEMP\AN7QO3H8UIV0.EXE
delall %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\TEMP\ZUW39AIC3DIN.EXE
;------------------------autoscript---------------------------

chklst
delvir

; AnySend
exec  C:\Users\Вован\AppData\Roaming\ASPackage\Uninstall.exe
; eTranslator
exec  C:\Users\Вован\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe

delref HTTP://FORCES.PIECEREPEAT.RU/SOFTWARE_INSTALL?HETAG=FC10A3EE7868F26E79323F7779326776&GUID=$__GUID&SIG=$__SIG&HASH=5CA0706C67E4743659F7AEE69F881211682C21FD91DC54CA0A669B5055409F17&HSIG=$__HWSIG&OVR=$__OVR&FILE_ID=71916835&EXT_PARTNER_ID=&DID=2221601655&AMIGO=1

deldirex %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\KOMETA\PANEL

delref HTTP://FORCES.PIECEREPEAT.RU/SOFTWARE_INSTALL?HETAG=FC10A3EE7868F26E79323F7779326776&HASH=C3E5E3B10C9B601BC33AAD60DEE45107BF29F49958036B1E5FF0BE9476943470&FILE_ID=71916835&DID=2221601655&EXT_PARTNER_ID=&SKINAPP=1&EXT_PARTNER_ID=

deldirex %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\KOMETA\APPLICATION\44.0.2403.125

delref SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.REG

deldirex %SystemDrive%\USERS\ВОВАН\APPDATA\LOCAL\KOMETA\APPLICATION

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT

REGT 28
REGT 29

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

[klaiperon]

Стартовая страница изменилась на гугл
поисковая система осталась mail ru
установленные программы остались
при запуске хрома с панели задач,открывается CMD окно
в след сообщении предоставлю лог MBAM

---------- Добавлено в 16:40 ---------- Предыдущее сообщение было написано в 16:14 ----------

лог MBAM http://rghost.ru/7GMlhMrZz

[safety]

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

[klaiperon]

Ссылочка на АдвКлинер в инструкции не открывается
UPD открыл,скачал

---------- Добавлено в 16:59 ---------- Предыдущее сообщение было написано в 16:46 ----------

Результаты FRST http://rghost.ru/8hxK2czdP

[safety]

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код:

GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
FF SearchPlugin: C:\Users\Вован\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\searchplugins\RuSearcher.xml [2015-08-23]
FF Extension: Advanced SystemCare Surfing Protection - C:\Users\Вован\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\iobitascsurfingprotection@iobit.com [2015-08-23]
FF SelectedSearchEngine: RuSearcher
CHR HKU\S-1-5-21-854752337-3241664280-4184367551-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
OPR Extension: (Универсальный перевод для Chrome) - C:\Users\Вован\AppData\Roaming\Opera Software\Opera Stable\Extensions\japjgpmeoeppglkbnkcoocfecknldoba [2015-08-23]
EmptyTemp:
Reboot:

[klaiperon]

fixlog http://rghost.ru/7XGTWQGg5

[safety]

7.закрываем уязвимости
Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
-------------
пишем что с проблемой

[klaiperon]

Обновил флешплеер
поисковая система осталась mail.ru
из программ осталась только iobit

[safety]

деинсталлируйте iorbit, если не нужен, из списка программ