Решена Проверка на вирусы. Появились странные файлы и папки

Тема в разделе "Лечение компьютерных вирусов", создана пользователем RuMax, 9 фев 2015.

Статус темы:
Закрыта.
  1. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Здравствуйте. Недавно увидел, что появились какие то странные папки и файлы. Комп стал больше выполнять каких то задач (судя по звука и загрузке ЦП). Вобщем по наблюдениям какие то лишние действия выполняет...
    Скорее всего вирусняк... Скрин появившихся лишних прикреплен.
    Помогите решить проблему.
     

    Вложения:

  2. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    Покерстарс - ваше?

    • Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
    • Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
    • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
    • Прикрепите отчет к своему следующему сообщению.

    Подробнее читайте в этом руководстве.
     
    RuMax нравится это.
  3. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Да, мой.
     

    Вложения:

  4. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования выделите галочками со следующие строки:
      Код (Text):

      # AdwCleaner v4.110 - Logfile created 12/02/2015 at 10:13:43
      # Updated 05/02/2015 by Xplode
      # Database : 2015-02-09.1 [Server]
      # Operating system : Microsoft Windows XP Service Pack 3 (x86)
      # Username : Admin - МАКС
      # Running from : C:\Documents and Settings\Admin\Рабочий стол\adwcleaner_4.110.exe
      # Option : Scan

      ***** [ Services ] *****


      ***** [ Files / Folders ] *****

      File Found : C:\Documents and Settings\Admin\daemonprocess.txt
      Folder Found : C:\Documents and Settings\Admin\Application Data\0D0S1L2Z1P1B
      Folder Found : C:\Documents and Settings\Admin\Application Data\DigitalSites
      Folder Found : C:\Documents and Settings\Admin\Application Data\zona
      Folder Found : C:\Documents and Settings\Admin\Local Settings\Application Data\genienext



      ***** [ Scheduled tasks ] *****


      ***** [ Shortcuts ] *****


      ***** [ Registry ] *****


      Key Found : HKCU\Software\dsiteproducts


      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Zip Extractor Packages


      Key Found : HKCU\Software\UpdateStar
      Key Found : HKCU\Software\UpToDown

      Key Found : HKCU\Software\zona
      Key Found : HKLM\SOFTWARE\Classes\speedupmypc

      Key Found : HKLM\SOFTWARE\Google\Chrome\Extensions\ieadcoanfjloocmfafkebdnfefmohngj

      Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MobogenieAdd

      Key Found : HKLM\SOFTWARE\zona

      ***** [ Web browsers ] *****

      -\\ Internet Explorer v8.0.6001.18702


      -\\ Mozilla Firefox v35.0.1 (x86 ru)


      -\\ Google Chrome v40.0.2214.111

      [C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Web data] - Found [Search Provider] : hxxp://start.qone8.com/web/?type=ds&ts=1380515249&from=amt&uid=HitachiXHTS542525K9SA00_080705BB6F00WDJP0ERGX&q={searchTerms}

      -\\ Chromium v

      [C:\Documents and Settings\Admin\Local Settings\Application Data\Chromium\User Data\Default\Web data] - Found [Search Provider] : hxxp://search.qip.ru/search/?query={searchTerms}&utm_source=chromeb&utm_medium=cpc&utm_campaign=browsers

      -\\ Comodo Dragon v


      -\\ Opera v19.0.1326.63

      [C:\Documents and Settings\Admin\Application Data\Opera Software\Opera Stable\Web data] - Found [Search Provider] : hxxp://search.qip.ru/search?query={searchTerms}&from=opera
      *************************

      AdwCleaner[R0].txt - [4647 bytes] - [12/02/2015 10:13:43]

      ########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4706 bytes] ##########

       
    • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    mail,mediaget,Winner Download Manager,freemake - это все ваше?


    Скачайте Malwarebytes' Anti-Malware или с зеркала. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
    Самостоятельно ничего не удаляйте!!!
    Если лог не открылся, то найти его можно в следующей папке:
    Код (Text):
    %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
    Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: MBAM-log-2014-10-14 (12-18-10).txt
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM, зеркало обновлений MBAM.
    Подробнее читайте в руководстве.
     
    Последнее редактирование: 12 фев 2015
    RuMax нравится это.
  5. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Не могу понять где выделять галочками, написанные вами строки...
    таких строк ни в одной вкладке нет. Ниже прикрепил скрин результатов сканирования:
    --- Объединённое сообщение, 12 фев 2015, Дата первоначального сообщения: 12 фев 2015 ---
    Это мои были, вроде удалял, если что то осталось, нужно удалить

    Winner Download Manager,freemake - тоже мое
    --- Объединённое сообщение, 12 фев 2015 ---
    Сообразил, все нашел :)
     

    Вложения:

    • cкрин.jpg
      cкрин.jpg
      Размер файла:
      59 КБ
      Просмотров:
      0
  6. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Файл AdwCleaner[S0].txt прикрепил

    Второй раз подряд, видимо, ошибаюсь при установки МВАМ. Мне кажется описание инструкции неверно написано и опирается на старую версию МВАМ.
    В старой версии нет сразу выбора обновления. В новой же появляется галочка Обновление непосредственно при установке и, видимо, ее надо убрать, потому что при оставлении галочки обновляется сама версия МВАМ, что противоречит совету отказа от установки новой версии. Если ее убрать, все равно просит обновление после установки и от него , видимо, надо отказываться, хотя, судя по формулировке решении об обновлении будет верным.
    Если честно, даже установив, не понял как правильно сделать, прислушиваясь к данной формулировке. Думаю, она как бы шаблоном является у вас при использовании МВАМ, попробуйте ее как то переформулировать на будущее :)
    Извиняюсь, если может я где то в заблуждениях нахожусь :)

    Я сделал так: http://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-1.16050/

    Потом обновил базы: миниатюра МВАМ.jpg
     

    Вложения:

  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    В таком случае :
    • Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
    • По окончанию сканирования отметьте галочками следующие строки:
      Код (Text):

      Folder Found : C:\Documents and Settings\All Users\Application Data\Media Get LLC
      Folder Found : C:\Program Files\Mail.Ru
      ey Found : HKCU\Software\Media Get LLC
      Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8509224A-4759-4C55-A87A-B7407ABCC3FC}


       
    • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.

    Hidcon,приложение которое скрывает выполнение команд в консоли - ваше?
    Если нет - то удалите с помощью MBAM по инструкции ниже и эту строку:
    Код (Text):
    C:\WINDOWS\system32\hidcon.exe (Trojan.Dropped) -> Действие не было предпринято.

    Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

    Подробнее читайте в руководстве.

    Код (Text):


    C:\drivers\addd.zip (PUP.Riskware.HideExec) -> Действие не было предпринято.
    C:\WINDOWS\system32\H@tKeysH@@k.DLL (HackTool.HotKeyHook) -> Действие не было предпринято.
    D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005761.exe (PUP.Optional.Downloader) -> Действие не было предпринято.
    D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005762.exe (PUP.Optional.Downloader) -> Действие не было предпринято.
    D:\System Volume Information\_restore{CFFAD345-1821-49E2-A393-0A322C652013}\RP5\A0005763.exe (PUP.Optional.Downloader) -> Действие не было предпринято.

     
    После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

    После этого:

    Смените все пароли,в первую очередь к электронным кошелькам,клиент банкам и т.д.

    Как давно используете?

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    Отметьте галочками также "Shortcut.txt".

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    Подробнее читайте в этом руководстве.
     
    Последнее редактирование: 13 фев 2015
    RuMax нравится это.
  8. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    так если я сниму галочки, то они останутся, а остальное удалится, насколько я понял... Может быть на них наоборот надо оставить галочки и нажать "очистить"?
     
  9. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    Да,прошу прощения)
    Умотался с работы,спутал,исправил.
     
    Последнее редактирование: 13 фев 2015
    RuMax нравится это.
  10. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Удалил hidcon и другие строки. Файл после сканирования и удаления log.txt
    Просканировал после перезагрузки повторно. Файл log2.txt
    Логи FRST.txt, Addition.txt, Shortcut.txt сделал

    давно установил, но уже долгое время не пользуюсь. Можно удалить
    Сменить даже те, которые давно не использовал?(он же читает пароли, когда я их ввожу?)
     

    Вложения:

    • Log.txt
      Размер файла:
      2,2 КБ
      Просмотров:
      1
    • log2.txt
      Размер файла:
      1,2 КБ
      Просмотров:
      1
    • FRST.txt
      Размер файла:
      63,5 КБ
      Просмотров:
      1
    • Shortcut.txt
      Размер файла:
      125,9 КБ
      Просмотров:
      1
    • Addition.txt
      Размер файла:
      53,8 КБ
      Просмотров:
      1
    • AdwCleaner[S1].txt
      Размер файла:
      3,4 КБ
      Просмотров:
      1
  11. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    [
    Нет,не нужно.

    Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.
    Код (Text):
    start
    SearchScopes: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> {3E0C9769-C75E-4D54-9BA8-ACE7DDE006DD6B4} URL = http://superru.net/?q={searchTerms}&utm_medium=ise&utm_source=ffa&utm_campaign=bp&utm_content=11-08
    SearchScopes: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> {8A0349E9-5932-C082-03A2-591DDE006DBACE7} URL = http://superru.net/?text={searchTerms}&utm_medium=ise&utm_source=ffa&utm_campaign=bp&utm_content=11-08
    Toolbar: HKU\S-1-5-21-1645522239-1592454029-1801674531-500 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} -  No File
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - No Path
    StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera\Opera.exe http://start.qone8.com/?type=sc&ts=1380515248&from=amt&uid=HitachiXHTS542525K9SA00_080705BB6F00WDJP0ERGX
    CustomCLSID: HKU\S-1-5-21-1645522239-1592454029-1801674531-500_Classes\CLSID\{20DD1B9E-87C4-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path
    CustomCLSID: HKU\S-1-5-21-1645522239-1592454029-1801674531-500_Classes\CLSID\{232E456A-87C3-11D1-8BE3-0000F8754DA1}\InprocServer32 -> No File Path

    Reboot:
    end
    Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.
    Подробнее читайте в этом руководстве.

    PageTester - ваше?


    Упакуйте в архив одну из папок,залейте на файлообменник,ссылку прикрепите.

    Повторите сбор логов autologger

    Сообщите о наличии проблем.
     
    RuMax нравится это.
  12. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Мой
    Не совсем понял какую папку...Упаковал вот эту непонятную появившуюся папку. В ней еще много папок (скрин zzz)
    ссылка на скачивание самой папки http://zalivalka.ru/200907
    Логи собрал. О проблеме что сказать. Папки и файлы как были, так и остались, но новые не появляются
     

    Вложения:

  13. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.220
    Симпатии:
    4.978
    Создайте точку восстановления
    Удалите вручную эти папки.

    • Пожалуйста, запустите adwcleaner.exe
    • Нажмите Uninstall (Удалить).
    • Подтвердите удаление нажав кнопку: Да.

    Подробнее читайте в этом руководстве.

    Удалите MBAM


    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код (Text):
    var
    LogPath : string;
    ScriptPath : string;

    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';

      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Выполните рекомендации после лечения.
     
    RuMax нравится это.
  14. RuMax
    Оффлайн

    RuMax Активный пользователь

    Сообщения:
    229
    Симпатии:
    41
    Все сделал, понаблюдал. Ничего лишнего не появляется.
    Koza Nozdri, большое вам спасибо за помощь :Good:
     
Статус темы:
Закрыта.

Поделиться этой страницей