Решена Проверка на вирусы. Появились странные файлы и папки

Статус
В этой теме нельзя размещать новые ответы.

RuMax

Постоянный участник
Сообщения
414
Реакции
62
Здравствуйте. Недавно увидел, что появились какие то странные папки и файлы. Комп стал больше выполнять каких то задач (судя по звука и загрузке ЦП). Вобщем по наблюдениям какие то лишние действия выполняет...
Скорее всего вирусняк... Скрин появившихся лишних прикреплен.
Помогите решить проблему.
 

Вложения

  • CollectionLog-2015.02.09-17.32.zip
    128.5 KB · Просмотры: 9
  • папки.jpg
    папки.jpg
    48.2 KB · Просмотры: 52
Покерстарс - ваше?

  • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования выделите галочками со следующие строки:
    Код:
    # AdwCleaner v4.110 - Logfile created 12/02/2015 at 10:13:43
    # Updated 05/02/2015 by Xplode
    # Database : 2015-02-09.1 [Server]
    # Operating system : Microsoft Windows XP Service Pack 3 (x86)
    # Username : Admin - МАКС
    # Running from : C:\Documents and Settings\Admin\Рабочий стол\adwcleaner_4.110.exe
    # Option : Scan
    
    ***** [ Services ] *****
    
    
    ***** [ Files / Folders ] *****
    
    File Found : C:\Documents and Settings\Admin\daemonprocess.txt
    Folder Found : C:\Documents and Settings\Admin\Application Data\0D0S1L2Z1P1B
    Folder Found : C:\Documents and Settings\Admin\Application Data\DigitalSites
    Folder Found : C:\Documents and Settings\Admin\Application Data\zona
    Folder Found : C:\Documents and Settings\Admin\Local Settings\Application Data\genienext
    
    
    
    ***** [ Scheduled tasks ] *****
    
    
    ***** [ Shortcuts ] *****
    
    
    ***** [ Registry ] *****
    
    
    Key Found : HKCU\Software\dsiteproducts
    
    
    Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Zip Extractor Packages
    
    
    Key Found : HKCU\Software\UpdateStar
    Key Found : HKCU\Software\UpToDown
    
    Key Found : HKCU\Software\zona
    Key Found : HKLM\SOFTWARE\Classes\speedupmypc
    
    Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\ieadcoanfjloocmfafkebdnfefmohngj
    
    Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd
    
    Key Found : HKLM\SOFTWARE\zona
    
    ***** [ Web browsers ] *****
    
    -\\ Internet Explorer v8.0.6001.18702
    
    
    -\\ Mozilla Firefox v35.0.1 (x86 ru)
    
    
    -\\ Google Chrome v40.0.2214.111
    
    [C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Web data] - Found [Search Provider] : hxxp://start.qone8.com/web/?type=ds&ts=1380515249&from=amt&uid=HitachiXHTS542525K9SA00_080705BB6F00WDJP0ERGX&q={searchTerms}
    
    -\\ Chromium v
    
    [C:\Documents and Settings\Admin\Local Settings\Application Data\Chromium\User Data\Default\Web data] - Found [Search Provider] : hxxp://search.qip.ru/search/?query={searchTerms}&utm_source=chromeb&utm_medium=cpc&utm_campaign=browsers
    
    -\\ Comodo Dragon v
    
    
    -\\ Opera v19.0.1326.63
    
    [C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Web data] - Found [Search Provider] : hxxp://search.qip.ru/search?query={searchTerms}&from=opera
    *************************
    
    AdwCleaner[R0].txt - [4647 bytes] - [12/02/2015 10:13:43]
    
    ########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4706 bytes] ##########
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

mail,mediaget,Winner Download Manager,freemake - это все ваше?


Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
Подробнее читайте в руководстве.
 
Последнее редактирование:
Не могу понять где выделять галочками, написанные вами строки...
таких строк ни в одной вкладке нет. Ниже прикрепил скрин результатов сканирования:
Это мои были, вроде удалял, если что то осталось, нужно удалить

Winner Download Manager,freemake - тоже мое
Сообразил, все нашел :)
 

Вложения

  • cкрин.jpg
    cкрин.jpg
    47.1 KB · Просмотры: 47
Файл AdwCleaner[S0].txt прикрепил

Второй раз подряд, видимо, ошибаюсь при установки МВАМ. Мне кажется описание инструкции неверно написано и опирается на старую версию МВАМ.
Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии)
В старой версии нет сразу выбора обновления. В новой же появляется галочка Обновление непосредственно при установке и, видимо, ее надо убрать, потому что при оставлении галочки обновляется сама версия МВАМ, что противоречит совету отказа от установки новой версии. Если ее убрать, все равно просит обновление после установки и от него , видимо, надо отказываться, хотя, судя по формулировке решении об обновлении будет верным.
Если честно, даже установив, не понял как правильно сделать, прислушиваясь к данной формулировке. Думаю, она как бы шаблоном является у вас при использовании МВАМ, попробуйте ее как то переформулировать на будущее :)
Извиняюсь, если может я где то в заблуждениях нахожусь :)

Я сделал так: https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-1.16050/

Потом обновил базы: миниатюра МВАМ.jpg
 

Вложения

  • AdwCleaner[S0].txt
    7.1 KB · Просмотры: 3
  • MBAM.jpg
    MBAM.jpg
    55.4 KB · Просмотры: 37
  • MBAM-log-2015-02-13 (03-22-55).txt
    3.7 KB · Просмотры: 3
Это мои были, вроде удалял, если что то осталось, нужно удалить
В таком случае :
  • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
  • По окончанию сканирования отметьте галочками следующие строки:
    Код:
    Folder Found : C:\Documents and Settings\All Users\Application Data\Media Get LLC
    Folder Found : C:\Program Files\Mail.Ru
    ey Found : HKCU\Software\Media Get LLC
    Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8509224A-4759-4C55-A87A-B7407ABCC3FC}
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Hidcon,приложение которое скрывает выполнение команд в консоли - ваше?
Если нет - то удалите с помощью MBAM по инструкции ниже и эту строку:
Код:
C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.


Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве.

Код:
C:\drivers\addd.zip (PUP.Riskware.HideExec) -> Действие не было предпринято.
C:\WINDOWS\system32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Действие не было предпринято.
D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005761.exe (PUP.Optional.Downloader) -> Действие не было предпринято.
D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005762.exe (PUP.Optional.Downloader) -> Действие не было предпринято.
D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005763.exe (PUP.Optional.Downloader) -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

После этого:

Смените все пароли,в первую очередь к электронным кошелькам,клиент банкам и т.д.

Winner Download Manager,freemake - тоже мое
Как давно используете?

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
По окончанию сканирования снимите галочки со следующих строк:
так если я сниму галочки, то они останутся, а остальное удалится, насколько я понял... Может быть на них наоборот надо оставить галочки и нажать "очистить"?
 
так если я сниму галочки, то они останутся, а остальное удалится, насколько я понял... Может быть на них наоборот надо оставить галочки и нажать "очистить"?
Да,прошу прощения)
Умотался с работы,спутал,исправил.
 
Последнее редактирование:
Удалил hidcon и другие строки. Файл после сканирования и удаления log.txt
Просканировал после перезагрузки повторно. Файл log2.txt
Логи FRST.txt, Addition.txt, Shortcut.txt сделал

Как давно используете?
давно установил, но уже долгое время не пользуюсь. Можно удалить
Смените все пароли,в первую очередь к электронным кошелькам,клиент банкам и т.д.
Сменить даже те, которые давно не использовал?(он же читает пароли, когда я их ввожу?)
 

Вложения

  • Log.txt
    2.2 KB · Просмотры: 1
  • log2.txt
    1.2 KB · Просмотры: 1
  • FRST.txt
    63.5 KB · Просмотры: 1
  • Shortcut.txt
    125.9 KB · Просмотры: 1
  • Addition.txt
    53.8 KB · Просмотры: 1
  • AdwCleaner[S1].txt
    3.4 KB · Просмотры: 1
[
давно установил, но уже долгое время не пользуюсь. Можно удалить
Нет,не нужно.

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
Код:
start
SearchScopes: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = http://superru.net/?q={searchTerms}&utm_medium=ise&utm_source=ffa&utm_campaign=bp&utm_content=11-08
SearchScopes: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = http://superru.net/?text={searchTerms}&utm_medium=ise&utm_source=ffa&utm_campaign=bp&utm_content=11-08
Toolbar: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - No Path
StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://start.qone8.com/?type=sc&ts=1380515248&from=amt&uid=HitachiXHTS542525K9SA00_080705BB6F00WDJP0ERGX
CustomCLSID: HKU\S-1-5-21-1645522239-1592454029-1801674531-500_Classes\CLSID\{20DD1B9E-87C4-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-1645522239-1592454029-1801674531-500_Classes\CLSID\{232E456A-87C3-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path

Reboot:
end
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

PageTester - ваше?


Упакуйте в архив одну из папок,залейте на файлообменник,ссылку прикрепите.

Повторите сбор логов autologger

Сообщите о наличии проблем.
 
Мой
Упакуйте в архив одну из папок,залейте на файлообменник,ссылку прикрепите.
Не совсем понял какую папку...Упаковал вот эту непонятную появившуюся папку. В ней еще много папок (скрин zzz)
ссылка на скачивание самой папки http://zalivalka.ru/200907
Повторите сбор логов autologger

Сообщите о наличии проблем.
Логи собрал. О проблеме что сказать. Папки и файлы как были, так и остались, но новые не появляются
 

Вложения

  • zzz.jpg
    zzz.jpg
    33.9 KB · Просмотры: 41
  • Fixlog.txt
    2.8 KB · Просмотры: 1
  • CollectionLog-2015.02.21-00.16.zip
    99.3 KB · Просмотры: 2
О проблеме что сказать. Папки и файлы как были, так и остались, но новые не появляются
Создайте точку восстановления
Удалите вручную эти папки.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите Uninstall (Удалить).
  • Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Удалите MBAM


Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Все сделал, понаблюдал. Ничего лишнего не появляется.
Koza Nozdri, большое вам спасибо за помощь :Good:
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу