В ProgramFiles появились скрытые папки с именами популярных антивирусов

[levit1976]

Приветствую!
В папках Program Files, Program Files 86 и ProgramData появились скрытые папки с именами популярных антивирусов (например Avast, AVG, Kaspersky и многие др)
Что делать? Помогите пожалуйста!

[Info_bot]

Уважаемый(ая) levit1976, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Лечить следует в одном месте (дубль на кибер-форуме).

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STDUtility\Uninstall STDU Viewer.lnk"     -> ["C:\Program Files (x86)\STDU Viewer\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STDUtility\STDU Viewer.lnk"     -> ["C:\Program Files (x86)\STDU Viewer\STDUViewerApp.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aurora Borealis\Aurora Borealis 3.6.lnk"  -> ["D:\Aurora Borealis 3.6\winaur36.exe"]
>>>  "C:\Users\Public\Desktop\Aurora Borealis 3.6.lnk"       -> ["D:\Aurora Borealis 3.6\winaur36.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aurora Borealis\Aurora Borealis 3.6 Lite.lnk"       -> ["D:\Aurora Borealis 3.6 Lite\aurora36lite.exe"]
>>>  "C:\Users\Public\Desktop\Aurora Borealis 3.6 Lite.lnk"  -> ["D:\Aurora Borealis 3.6 Lite\aurora36lite.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3\Picasa 3.lnk"          -> ["C:\Program Files (x86)\Google\Picasa3\Picasa3.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3\Настроить программу Picasa Photo Viewer.lnk"         -> ["C:\Program Files (x86)\Google\Picasa3\PicasaPhotoViewer.exe"  =>> /reconfig]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3\Удалить.lnk"           -> ["C:\Program Files (x86)\Google\Picasa3\uninstall.exe"]
- "C:\Users\pashv\AppData\Roaming\extensions\extensions_chrome\icons\48.url"  ->                    hxxp://wmid234ru.ru/
- "C:\Users\pashv\AppData\Roaming\extensions\extensions_chrome\icons\Google-Chrome-Google-Chrome.url"  ->               hxxp://wmid234ru.ru/

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).