Решена Проверка на вирусы. Появились странные файлы и папки

[RuMax]

Здравствуйте. Недавно увидел, что появились какие то странные папки и файлы. Комп стал больше выполнять каких то задач (судя по звука и загрузке ЦП). Вобщем по наблюдениям какие то лишние действия выполняет...
Скорее всего вирусняк... Скрин появившихся лишних прикреплен.
Помогите решить проблему.

Click to read more...

 

[Кирилл]

Покерстарс - ваше?

• Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
• Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[RuMax]

Покерстарс - ваше?

Да, мой.

 

[Кирилл]

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования выделите галочками со следующие строки:
  
  # AdwCleaner v4.110 - Logfile created 12/02/2015 at 10:13:43
  # Updated 05/02/2015 by Xplode
  # Database : 2015-02-09.1 [Server]
  # Operating system : Microsoft Windows XP Service Pack 3 (x86)
  # Username : Admin - МАКС
  # Running from : C:\Documents and Settings\Admin\Рабочий стол\adwcleaner_4.110.exe
  # Option : Scan
  
  ***** [ Services ] *****
  
  
  ***** [ Files / Folders ] *****
  
  File Found : C:\Documents and Settings\Admin\daemonprocess.txt
  Folder Found : C:\Documents and Settings\Admin\Application Data\0D0S1L2Z1P1B
  Folder Found : C:\Documents and Settings\Admin\Application Data\DigitalSites
  Folder Found : C:\Documents and Settings\Admin\Application Data\zona
  Folder Found : C:\Documents and Settings\Admin\Local Settings\Application Data\genienext
  
  
  
  ***** [ Scheduled tasks ] *****
  
  
  ***** [ Shortcuts ] *****
  
  
  ***** [ Registry ] *****
  
  
  Key Found : HKCU\Software\dsiteproducts
  
  
  Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Zip Extractor Packages
  
  
  Key Found : HKCU\Software\UpdateStar
  Key Found : HKCU\Software\UpToDown
  
  Key Found : HKCU\Software\zona
  Key Found : HKLM\SOFTWARE\Classes\speedupmypc
  
  Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\ieadcoanfjloocmfafkebdnfefmohngj
  
  Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
  
  Key Found : HKLM\SOFTWARE\zona
  
  ***** [ Web browsers ] *****
  
  -\\ Internet Explorer v8.0.6001.18702
  
  
  -\\ Mozilla Firefox v35.0.1 (x86 ru)
  
  
  -\\ Google Chrome v40.0.2214.111
  
  [C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Web data] - Found [Search Provider] : hxxp://start.qone8.com/web/?type=ds&ts=1380515249&from=amt&uid=HitachiXHTS542525K9SA00_080705BB6F00WDJP0ERGX&q={searchTerms}
  
  -\\ Chromium v
  
  [C:\Documents and Settings\Admin\Local Settings\Application Data\Chromium\User Data\Default\Web data] - Found [Search Provider] : hxxp://search.qip.ru/search/?query={searchTerms}&utm_source=chromeb&utm_medium=cpc&utm_campaign=browsers
  
  -\\ Comodo Dragon v
  
  
  -\\ Opera v19.0.1326.63
  
  [C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Web data] - Found [Search Provider] : hxxp://search.qip.ru/search?query={searchTerms}&from=opera
  *************************
  
  AdwCleaner[R0].txt - [4647 bytes] - [12/02/2015 10:13:43]
  
  ########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4706 bytes] ##########
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

mail,mediaget,Winner Download Manager,freemake - это все ваше?


Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.

 

[RuMax]

Не могу понять где выделять галочками, написанные вами строки...
таких строк ни в одной вкладке нет. Ниже прикрепил скрин результатов сканирования:

mail,mediaget

Это мои были, вроде удалял, если что то осталось, нужно удалить

Winner Download Manager,freemake - тоже мое
Сообразил, все нашел

 

[RuMax]

Файл AdwCleaner[S0].txt прикрепил

Второй раз подряд, видимо, ошибаюсь при установки МВАМ. Мне кажется описание инструкции неверно написано и опирается на старую версию МВАМ.

Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии)

В старой версии нет сразу выбора обновления. В новой же появляется галочка Обновление непосредственно при установке и, видимо, ее надо убрать, потому что при оставлении галочки обновляется сама версия МВАМ, что противоречит совету отказа от установки новой версии. Если ее убрать, все равно просит обновление после установки и от него , видимо, надо отказываться, хотя, судя по формулировке решении об обновлении будет верным.
Если честно, даже установив, не понял как правильно сделать, прислушиваясь к данной формулировке. Думаю, она как бы шаблоном является у вас при использовании МВАМ, попробуйте ее как то переформулировать на будущее
Извиняюсь, если может я где то в заблуждениях нахожусь

Я сделал так: http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-1.16050/

Потом обновил базы: миниатюра МВАМ.jpg

 

[Кирилл]

Это мои были, вроде удалял, если что то осталось, нужно удалить

В таком случае :

• Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
• По окончанию сканирования отметьте галочками следующие строки:
  
  Folder Found : C:\Documents and Settings\All Users\Application Data\Media Get LLC
  Folder Found : C:\Program Files\Mail.Ru
  ey Found : HKCU\Software\Media Get LLC
  Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8509224A-4759-4C55-A87A-B7407ABCC3FC}
• Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Hidcon,приложение которое скрывает выполнение команд в консоли - ваше?
Если нет - то удалите с помощью MBAM по инструкции ниже и эту строку:

C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

C:\drivers\addd.zip (PUP.Riskware.HideExec) -> Действие не было предпринято.
C:\WINDOWS\system32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Действие не было предпринято.
D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005761.exe (PUP.Optional.Downloader) -> Действие не было предпринято.
D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005762.exe (PUP.Optional.Downloader) -> Действие не было предпринято.
D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005763.exe (PUP.Optional.Downloader) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

После этого:

Смените все пароли,в первую очередь к электронным кошелькам,клиент банкам и т.д.

Winner Download Manager,freemake - тоже мое

Как давно используете?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[RuMax]

По окончанию сканирования снимите галочки со следующих строк:

так если я сниму галочки, то они останутся, а остальное удалится, насколько я понял... Может быть на них наоборот надо оставить галочки и нажать "очистить"?

 

[Кирилл]

так если я сниму галочки, то они останутся, а остальное удалится, насколько я понял... Может быть на них наоборот надо оставить галочки и нажать "очистить"?

Да,прошу прощения)
Умотался с работы,спутал,исправил.

 

[RuMax]

Удалил hidcon и другие строки. Файл после сканирования и удаления log.txt
Просканировал после перезагрузки повторно. Файл log2.txt
Логи FRST.txt, Addition.txt, Shortcut.txt сделал

Как давно используете?

давно установил, но уже долгое время не пользуюсь. Можно удалить

Смените все пароли,в первую очередь к электронным кошелькам,клиент банкам и т.д.

Сменить даже те, которые давно не использовал?(он же читает пароли, когда я их ввожу?)

 

[Кирилл]

[

давно установил, но уже долгое время не пользуюсь. Можно удалить

Нет,не нужно.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
SearchScopes: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = http://superru.net/?q={searchTerms}&utm_medium=ise&utm_source=ffa&utm_campaign=bp&utm_content=11-08
SearchScopes: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = http://superru.net/?text={searchTerms}&utm_medium=ise&utm_source=ffa&utm_campaign=bp&utm_content=11-08
Toolbar: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - No Path
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://start.qone8.com/?type=sc&ts=1380515248&from=amt&uid=HitachiXHTS542525K9SA00_080705BB6F00WDJP0ERGX
CustomCLSID: HKU\S-1-5-21-1645522239-1592454029-1801674531-500_Classes\CLSID\{20DD1B9E-87C4-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1645522239-1592454029-1801674531-500_Classes\CLSID\{232E456A-87C3-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path

Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

PageTester - ваше?


Упакуйте в архив одну из папок,залейте на файлообменник,ссылку прикрепите.

Повторите сбор логов autologger

Сообщите о наличии проблем.

 

[RuMax]

PageTester - ваше?

Мой

Упакуйте в архив одну из папок,залейте на файлообменник,ссылку прикрепите.

Не совсем понял какую папку...Упаковал вот эту непонятную появившуюся папку. В ней еще много папок (скрин zzz)
ссылка на скачивание самой папки http://zalivalka.ru/200907

Повторите сбор логов autologger

Сообщите о наличии проблем.

Логи собрал. О проблеме что сказать. Папки и файлы как были, так и остались, но новые не появляются

 

[Кирилл]

О проблеме что сказать. Папки и файлы как были, так и остались, но новые не появляются

Создайте точку восстановления
Удалите вручную эти папки.

• Пожалуйста, запустите adwcleaner.exe
• Нажмите Uninstall (Удалить).
• Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите MBAM


Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

[RuMax]

Все сделал, понаблюдал. Ничего лишнего не появляется.
Koza Nozdri, большое вам спасибо за помощь