Junior Member
Вес репутации
25
Сами создаются новые папки, которые трудно удалить
Всё время появляются новые пустые папки, которые можно удалить только с разрешения администратора. Папки имеют формат имени "MSI3f16e.tmp". Так же стали появляться проблемы такого рода, что удаляются драйвера, например, вчера я не мог смотреть изображения. Так же не могу почистить диск C, потому что один из файлов блокирует эту функцию.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Илья Черенков , спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект .
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\ultimate-discounter browser\udservice.exe');
StopService('Coupons Browser Update Service');
QuarantineFile('c:\program files\ultimate-discounter browser\udservice.exe', '');
QuarantineFile('C:\Users\Илья\appdata\roaming\svchost.exe', '');
DeleteFile('c:\program files\ultimate-discounter browser\udservice.exe', '32');
DeleteFile('G:\1000.exe', '32');
DeleteFile('C:\Users\Илья\appdata\roaming\svchost.exe', '32');
DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
DeleteService('Coupons Browser Update Service');
DeleteService('QipGuard');
DeleteFileMask('c:\program files\ultimate-discounter browser', '*', true);
DeleteDirectory('c:\program files\ultimate-discounter browser');
ExecuteFile('schtasks.exe', '/delete /TN "{26DCA50F-1D25-482A-A2AA-8B3404547535}" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "{31649840-DC01-4CBB-A524-8A2B2E710BEB}" /F', 0, 15000, true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #1');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(17);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Выполните в AVZ скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK . Отчёт о работе прикрепите.
Сделайте лог Malwarebytes AdwCleaner .
Junior Member
Вес репутации
25
Отчет по работе прикреплён. А при запуске AdwCleaner компьютер выдаёт ошибку, и говорит, что отказано в доступе. Вот что там написано : 22:19:32: Failed to create a temporary file name (error 5: отказано в доступе.)
22:19:32: can't open user configuration file.
22:19:32: Failed to create a temporary file name (error 5: отказано в доступе.)
22:19:32: can't open user configuration file.
Вложения
Отключите временно антивирус и попробуйте снова.
Junior Member
Вес репутации
25
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).
Junior Member
Вес репутации
25
Вложения
Удалите Html5 geolocation provider, это adware.
Удалите MediaGet, он, насколько я знаю, рекламу показывает.
Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:
Код:
CreateRestorePoint:
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net/?im
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040
URLSearchHook: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 - QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
SearchScopes: HKLM -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKLM -> {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2261463
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = hxxp://search.qip.ru/search?query={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BA6CE39E0-8D3C-4A38-8386-5F6B44C59AB4%7D&gp=811041
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Илья\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-05-11] (Mail.Ru)
FF Extension: (DAEMON Tools Toolbar) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2012-10-07] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2017-01-15]
FF Extension: (QipCounter) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2012-12-21] [not signed]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2017-01-15]
FF Extension: (Спутник @Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2012-11-04] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-15]
FF Extension: (HTML5 location provider) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2014-04-22] [not signed]
FF SearchPlugin: C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\searchplugins\mailru---.xml [2012-11-11]
FF SearchPlugin: C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\searchplugins\qip-search.xml [2013-08-07]
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\mailru.xml [2012-02-16]
FF Plugin HKU\S-1-5-21-3769656520-2758395152-1507551671-1001: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [2014-08-01] (Altergeo)
CHR HomePage: Default -> mail.ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040"
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files\AlterGeo\Html5 geolocation provider\altergeo.crx [2012-06-06]
CHR HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
2017-07-25 13:30 - 2017-07-25 13:30 - 00000000 ____D C:\MSIdcfed.tmp
2017-07-25 13:30 - 2017-07-25 13:30 - 00000000 ____D C:\_551717_
2017-07-25 13:29 - 2017-07-25 13:29 - 00000000 ____D C:\DX6FC4.tmp
2017-07-19 11:56 - 2017-07-19 11:56 - 00000000 ____D C:\MSId9a6d.tmp
2017-07-19 11:55 - 2017-07-19 11:55 - 00000000 ____D C:\MSId9a6a.tmp
2017-07-19 11:52 - 2017-07-19 11:52 - 00000053 _____ C:\281455705.tmp.bat
2017-07-18 17:13 - 2017-07-18 17:13 - 00000000 ____D C:\Windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
2017-07-18 17:13 - 2017-07-18 17:13 - 00000000 ____D C:\_411960_
2017-07-18 17:11 - 2017-07-18 17:11 - 00000000 ____D C:\MSI293d6.tmp
2017-07-18 17:11 - 2017-07-18 17:11 - 00000000 ____D C:\DX3F.tmp
2017-07-18 11:25 - 2017-07-18 11:25 - 00000000 ____D C:\Windows\64467D47FFE44FBCABBAA0DB829A17EB.TMP
2017-07-18 11:24 - 2017-07-18 11:24 - 00000000 ____D C:\DX13D1.tmp
2017-07-18 11:04 - 2017-07-18 11:04 - 00000000 ____D C:\MSIa791b.tmp
2017-07-18 11:03 - 2017-07-18 11:03 - 00000000 ____D C:\MSIa7918.tmp
22017-07-18 08:47 - 2017-07-18 08:47 - 00000000 ____D C:\MSIe33eb.tmp
2017-07-14 22:27 - 2017-07-14 22:27 - 00000000 ____D C:\MSI941a6.tmp
2017-07-14 22:24 - 2017-07-14 22:24 - 00000000 ____D C:\MSI70bea.tmp
2017-07-14 22:24 - 2017-07-14 22:24 - 00000000 ____D C:\MSI70be5.tmp
2017-07-14 22:22 - 2017-07-14 22:22 - 00000000 ____D C:\_880770_
2017-07-11 00:13 - 2017-07-11 00:13 - 00000000 ____D C:\MSId8af8.tmp
2017-07-11 00:13 - 2017-07-11 00:13 - 00000000 ____D C:\MSId8ae2.tmp
2017-07-07 16:29 - 2017-07-07 16:29 - 00000000 ____D C:\MSI56dcd.tmp
2017-07-07 16:29 - 2017-07-07 16:29 - 00000000 ____D C:\MSI56db7.tmp
2016-07-10 23:10 - 2014-10-28 02:38 - 3580520 _____ () C:\Users\Илья\AppData\Roaming\svchost.exe
ContextMenuHandlers01: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\Илья\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
ContextMenuHandlers01: [MRAICQCMenu] -> {7C9E7B90-88EC-4852-AC7A-C938268A5D04} => C:\Users\Илья\AppData\Roaming\ICQM\ICQ\dll\mramenu.dll -> No File
Task: {5094988D-E771-4EC0-8881-26BC21EE34E0} - \new1newsnetvzxcsm -> No File <==== ATTENTION
Task: {77887C1A-1F06-4BAE-8663-7E3CE3B80570} - System32\Tasks\Games\UpdateCheck_S-1-5-21-3769656520-2758395152-1507551671-1001
Task: {BF82A11B-6E36-4453-A966-9864F654FC63} - \Microsoft\Windows\PMS\PMS -> No File <==== ATTENTION
C:\Users\Илья\Desktop\Все папки и ярлыки\Gооglе Сhrоmе.lnk
C:\Program Files\Google\Chrome\chrome.bat
C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [{0DE731BA-FE82-4E5B-AA1D-8BC228340F64}] => (Allow) C:\Program Files\TorrentExpress\SmallTE.exe
FirewallRules: [{E26E3741-2D82-47CE-AC4E-B707B945A4E0}] => (Allow) C:\Program Files\TorrentExpress\SmallTE.exe
Reboot:
Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры , в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.
Если не поможет - отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.
Junior Member
Вес репутации
25
Вложения
Junior Member
Вес репутации
25
Папки до сих пор присутствуют, и их становится всё больше. До сих пор проблема с доступом к некоторым файлам. Не могу почистить диск C. А рекламы нет.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS .
Junior Member
Вес репутации
25
Вложения
Папки вида MSI*.TMP создаёт Windows Installer. Вопрос - почему столько создаёт всё время, но к вирусам это отношения не имеет.
Junior Member
Вес репутации
25
Понятно. А с вирусами вы можете мне помочь?
А ничего серьёзного нет.
Сделайте лог Malwarebytes AdwCleaner .
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 5 В ходе лечения вредоносные программы в карантинах не обнаружены