Появление RAR архивов.

**Alexsandr13** · 04.07.2017, 16:40

Добрый день!
Постоянно появляются архивы .RAR в каждой папке с названием данной папки, так же появляются файлы .bat и .scr(когда открываешь папку они исчезают) касперский и dr web удаляет их, но они появляются снова

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.07.2017, 16:42

Уважаемый(ая) Alexsandr13, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 07.07.2017, 08:19

>> Блокировка редактора реестра

сами блокировали?

Выполните скрипт в AVZ

Код:

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Администратор\администратор.exe','');
 QuarantineFile('C:\Users\Администратор\appdata\roaming\microsoft\internet explorer\quick launch\launch.scr','');
 DeleteFile('C:\Users\Администратор\appdata\roaming\microsoft\internet explorer\quick launch\launch.scr','32');
 DeleteFile('C:\Users\Администратор\администратор.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

**Alexsandr13** · 07.07.2017, 16:24

Добрый день.
Нет сам не блокировал реестр.

При загрузки файла карантина пишет: Результат загрузки. Ошибка загрузки. Данный файл уже был загружен. (Сам виноват пытался загрузить с Autologger, ошибся немного)

**thyrex** · 09.07.2017, 09:39

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**Alexsandr13** · 10.07.2017, 07:58

Добрый день!
Высылаю архив с отчетами.

**thyrex** · 12.07.2017, 11:02

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
HKLM-x32\...\Run: [kdvhwdsnzjvqrw] => C:\Users\836D~1\AppData\Local\Temp\2\vvunjxtvofyaiultcoong.exe <==== ATTENTION
HKLM\...\Policies\Explorer\Run: [tfqvddl] => C:\Users\836D~1\AppData\Local\Temp\2\ifbrkvondrhgluintc.exe
HKU\S-1-5-21-1581685121-2027468277-1625251114-500\...\Run: [ivhnwxgv] => C:\Users\836D~1\AppData\Local\Temp\2\trofzlffwlccishnuec.exe <==== ATTENTION
HKU\S-1-5-21-1581685121-2027468277-1625251114-500\...\Policies\system: [DisableRegistryTools] 1
Startup: C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.rar [2017-07-03] ()
Startup: C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.rar [2017-07-06] ()
2017-07-06 13:34 - 2017-07-06 21:11 - 00037618 _____ C:\Users\Администратор\Downloads\Downloads.rar
2017-07-06 13:34 - 2017-07-06 21:10 - 00037618 _____ C:\Users\Администратор\Documents\документы.rar
2017-07-06 13:34 - 2017-07-06 21:10 - 00037618 _____ C:\Users\Администратор\Documents\Documents.rar
2017-07-06 13:32 - 2017-07-06 21:06 - 00037618 _____ C:\Users\Администратор\AppData\LocalLow\LocalLow.rar
2017-07-06 13:31 - 2017-07-06 21:05 - 00037618 _____ C:\Users\Администратор\AppData\Local\Apps\Apps.rar
2017-07-06 13:31 - 2017-07-06 21:05 - 00037618 _____ C:\Users\Администратор\AppData\AppData.rar
2017-07-06 13:31 - 2017-07-06 21:05 - 00037618 _____ C:\Users\Public\Downloads\Downloads.rar
2017-07-06 13:31 - 2017-07-06 21:05 - 00037618 _____ C:\Users\postgres\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Programs.rar
2017-07-06 13:31 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Public\Documents\Documents.rar
2017-07-06 13:31 - 2017-07-06 21:04 - 00037618 _____ C:\Users\postgres\AppData\Roaming\Roaming.rar
2017-07-06 13:31 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default\Documents\Documents.rar
2017-07-06 13:31 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default\AppData\Roaming\Application Data.rar
2017-07-06 13:31 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default User\Documents\Documents.rar
2017-07-06 13:31 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default User\AppData\Roaming\Application Data.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default\AppData\Roaming\Roaming.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default\AppData\AppData.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default User\AppData\Roaming\Roaming.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\Default User\AppData\AppData.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\administrator\Documents\документы.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\administrator\Desktop\Desktop.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Главное меню.rar
2017-07-06 13:30 - 2017-07-06 21:04 - 00037618 _____ C:\Users\administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Программы.rar
2017-07-06 13:30 - 2017-07-06 21:03 - 00037618 _____ C:\Users\administrator\AppData\Roaming\Roaming.rar
2017-07-06 13:28 - 2017-07-06 21:02 - 00037618 _____ C:\Users\Users.rar
2017-07-06 13:28 - 2017-07-06 21:02 - 00037618 _____ C:\Users\administrator\administrator.rar
2017-07-05 14:31 - 2017-07-05 14:31 - 00000000 _____ C:\Users\Администратор\Documents\документы.exe
2017-07-04 12:52 - 2017-07-04 12:52 - 00000000 _____ C:\Users\Администратор\Downloads\Downloads.exe
2017-06-27 10:46 - 2017-07-07 16:08 - 00000272 ____H C:\Windows\vforxvbnqrugyuvngcmvyeciuxy.nfb
2017-06-27 10:46 - 2017-07-07 16:08 - 00000272 ____H C:\Windows\SysWOW64\vforxvbnqrugyuvngcmvyeciuxy.nfb
2017-06-27 10:46 - 2017-07-07 16:08 - 00000272 ____H C:\Program Files (x86)\vforxvbnqrugyuvngcmvyeciuxy.nfb
2017-06-27 10:46 - 2017-06-27 10:46 - 00004088 ____H C:\Windows\SysWOW64\snhvmvmjxjxuxeqtxezthyhyvjvjgjqcfjqlft.tkh
2017-06-27 10:46 - 2017-06-27 10:46 - 00004088 ____H C:\Windows\snhvmvmjxjxuxeqtxezthyhyvjvjgjqcfjqlft.tkh
2017-06-27 10:46 - 2017-06-27 10:46 - 00004088 ____H C:\Program Files (x86)\snhvmvmjxjxuxeqtxezthyhyvjvjgjqcfjqlft.tkh
ContextMenuHandlers01: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
ContextMenuHandlers04: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> No File
MSCONFIG\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Startup.pif => C:\Windows\pss\Startup.pif.Startup
MSCONFIG\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Startup.rar => C:\Windows\pss\Startup.rar.Startup
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**Alexsandr13** · 12.07.2017, 17:12

fixlist.txt

**thyrex** · 13.07.2017, 07:20

Что с проблемой?

**Alexsandr13** · 14.07.2017, 07:13

К сожалению проблема осталась.

**thyrex** · 15.07.2017, 06:59

Сделайте лог полного сканирования МВАМ

**Alexsandr13** · 17.07.2017, 11:27

Отчет

**thyrex** · 17.07.2017, 19:29

Удалите в МВАМ все найденное

**Alexsandr13** · 18.07.2017, 17:15

Добрый день.
Удалил программой все что он нашел, перезагрузил, но все равно создаются файлы.
Подскажите пожалуйста как его можно вычислить от куда он лезет, может он в сети где весит на локальной машине. Спасибо.

**thyrex** · 18.07.2017, 18:57

Если файлы появляются в расшаренных папках, а компьютер - часть локальной сети, тогда искать заразу нужно на другой машине

**Alexsandr13** · 10.08.2017, 09:07

Большое спасибо. Все компы вылечил.

Появление RAR архивов. (заявка № 213585)

Опции темы