Решена Касперский обнаружил файл "launchall.py"

Статус
В этой теме нельзя размещать новые ответы.

CHESNOK

Новый пользователь
Сообщения
25
Реакции
6
Добрый день.
Каких-то проблем с компьютером я не наблюдаю. Однако установленный KIS16 обнаружил вредоносный файл
Код:
C:\Users\Igor\AppData\Roaming\cube4\launchall.py;C:\Users\Igor\AppData\Roaming\cube4\launchall.py;not-a-virus:AdWare.Python.PBot.e;Рекламная программа
И предложил его удалить. Я согласился.

Однако папка с файлами по адресу "C:\Users\Igor\AppData\Roaming\cube4" осталась. Вопрос что это за папка, от чего? Нужно ли ее удалять? Поискав в интернете я обратил внимания что она часто фигурирует в подобных разделах "лечение от вирусов" и т.п. Поэтому она вызывает у меня подозрения и я решился лишний раз поинтересоваться.
Так же я проводил чистку утилитой adwcleaner.

И в дополнении хотел спросить. Я пользуюсь Элементами Яндекс для браузера firefox. Но тот же adwcleaner постоянно находит в них проблему и предлагает удалить. Можно ли ими пользоваться или лучше воздержаться от установки. Сам я тоже не очень доверяю этим приложениям, они навязчива предлагают вместе с ними установить и другие не нужные функции с рекламой и т.п. От них же мне нужен в основном только значок почты и ВК на панели браузера где отображались бы присланные новые сообщения. Может быть есть альтернатива, другие приложения более надежные и безопасные. Или может мои опасения не оправданы.

Заранее спасибо
 

Вложения

  • CollectionLog-2017.07.25-12.46.zip
    80.2 KB · Просмотры: 2
Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Добавил
 

Вложения

  • FRST64_log.rar
    39.6 KB · Просмотры: 2
Через Панель управления - Удаление программ - удалите нежелательное ПО:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\Run: [pac] => [X]
    CHR DefaultSearchURL: Default -> hxxps://duckduckgo.com/?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> duckduckgo
    CHR DefaultSuggestURL: Default -> hxxps://ac.duckduckgo.com/ac/?q={searchTerms}&type=list
    2017-07-21 12:50 - 2016-05-30 01:33 - 00002882 _____ C:\Windows\System32\Tasks\Driver Booster SkipUAC (Igor)
    2017-07-25 11:28 - 2016-11-29 21:13 - 00000000 ____D C:\Users\Igor\AppData\Roaming\cube4
    Task: {B64D1A2D-8879-4E5F-B652-BF4D5F4BF9D7} - System32\Tasks\Driver Booster SkipUAC (Igor) => C:\Program Files (x86)\IObit\Driver Booster\4.2.0\DriverBooster.exe [2017-01-10] (IObit)
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Кажется я не правильно сделал.
Программу Driver Booster 4.2 удалил.
А вот дальше делал по пунктам как вы описали. Отключил Антивирус, скопировал код, запустил FRST64 и нажал Fix. И получил следующий лог (прикрепил Fixlog1.txt)
Но потом прочитав дальше по ссылке на руководство. Понял что скопированный код нужно было сохранить в файл fixlist.txt (Юникод) и положить в папку с программой. А я подумал программа сама подхватывает код, если скопировать его в буфер обмена. Поэтому делал все по пунктам. Не знаю напортачил я этим или нет.
Прикрепил (Fixlog2.txt) полученный после того как я все сделал согласно этому руководству
 

Вложения

  • Fixlog1.txt
    2.6 KB · Просмотры: 2
  • Fixlog2.txt
    2.3 KB · Просмотры: 2
Вы поняли правильно
программа сама подхватывает код, если скопировать его в буфер обмена.
Повторный фикс не повредил, не страшно.

Прежде, чем отвечать на вопросы сообщите, больше ничего не беспокоит?
 
Нет не беспокоит. Но я писал и раньше что меня ни чего не беспокоило. Просто у меня были подозрения на папку "cube4". Поэтому решил поинтересоваться. Лучше как говорится перебдить...
 
Хорошо, теперь по-порядку:
KIS16 - устаревшая версия, обновите до актуальной.
От них же мне нужен в основном только значок почты и ВК на панели браузера где отображались бы присланные новые сообщения
Вам важно, чтоб были такие значки даже при закрытых вкладках?
У меня на открытой вкладке почты, к примеру, при получении письма браузер показывает цифру новых сообщений. Предположу, что в ВК нечто подобное должно быть. Для меня этого достаточно.
 
Ок. Над новой версией KIS поработаю.
Вам важно, чтоб были такие значки даже при закрытых вкладках?
Да, удобно что не нужно открывать доп. вкладки, а иконки есть на панели в браузере и оповещают о новых сообщениях.
1. Но главное я хотел узнать, все же лучше воздержаться от установки "элеметов яндекс" или... ?
2. Папка "cube4" откуда появилась, что за программа? И опасна ли?
3. Программу Driver Booster лучше не устанавливать? Какие проблемы?

Извиняюсь за такое количество вопросов, но просто я хочу понимать что происхоит чтобы в дальнейшем предотвращать нежелательные исходы. А когда не понимаешь что делаешь и в чем проблема сложно на что-то повлиять.
Спасибо за помощь
 
1. Пользуйтесь, но будьте внимательны.
2. Хвост от рекламного нежелательного ПО.
3. Мы не рекомендуем пользоваться всевозможными оптимизаторами и "улучшателями". В большинстве своем они просто бесполезны, а зачастую - вредны. Комплект от IObit, как правило, ставится вместе с целым набором всякого рекламного мусора.

В завершение проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
А откуда появилось это "рекламное нежелательное ПО"? Или это сложно определить? Тот злополучный яндекс может быть причиной?
По сути Driver Booster я особо и не пользовался. Я его использовал лишь для проверки актуальности драйверов. А сами драйвера я всегда сам скачивал с офиц. сайта и устанавливал. В остальном он мне не нужен.
Прикрепил файл
 

Вложения

  • SecurityCheck.txt
    10.2 KB · Просмотры: 2
------------------------------- [ HotFix ] --------------------------------
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.5.41712 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat XI Pro v.11.0.17 Внимание! Скачать обновления

откуда появилось это "рекламное нежелательное ПО"?
Прочтите и выполните Рекомендации после удаления вредоносного ПО.
Найдете ответы на некоторые Ваши вопросы.
 
Все установил. Антивирус установлю новый позже.
Прикрепил лог SecurityCheck
Попробовал еще раз просканировать программой AdwCleaner, она опять что-то нашла. Прикрепил лог-файл
 

Вложения

  • SecurityCheck.txt
    10.2 KB · Просмотры: 2
  • AdwCleaner[S7].txt
    1.8 KB · Просмотры: 1
Я сам ставил поиск по умолчанию Яндекс.
Сделал сброс настроек в браузере Chrome.

Забыл спросить, отчиску делать в AdwCleaner? Я не нажимал "отчистить" после того как вам лог отправил.
 
Если это не вызывает у Вас особых неудобств, я бы пока советовал воздержаться от использования AdwCleaner. Новая версия еще сырая и, в частности, в плане настроек поиска Хрома там есть недочеты.
 
Тогда получается все?

Большое спасибо за помощь и ответы на вопросы.
 
Возник еще такой вопрос. Что делать с папкой "C:\FRST" Она как я понял создалась когда я запускал FRST64. Там есть внутри есть папка карантин и в ней лежит тот злополучный "cube4" на который касперский ругается.
Ее можно просто удалить или нужно как-то это правильно сделать. В инструкциях на форуме что-то не нашел "Как правильно удалить FRST64"
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу