Сами создаются новые папки, которые трудно удалить

**Илья Черенков** · 20.07.2017, 08:28

Всё время появляются новые пустые папки, которые можно удалить только с разрешения администратора. Папки имеют формат имени "MSI3f16e.tmp". Так же стали появляться проблемы такого рода, что удаляются драйвера, например, вчера я не мог смотреть изображения. Так же не могу почистить диск C, потому что один из файлов блокирует эту функцию.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 20.07.2017, 08:30

Уважаемый(ая) Илья Черенков, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 22.07.2017, 15:48

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 TerminateProcessByName('c:\program files\ultimate-discounter browser\udservice.exe');
 StopService('Coupons Browser Update Service');
 QuarantineFile('c:\program files\ultimate-discounter browser\udservice.exe', '');
 QuarantineFile('C:\Users\Илья\appdata\roaming\svchost.exe', '');
 DeleteFile('c:\program files\ultimate-discounter browser\udservice.exe', '32');
 DeleteFile('G:\1000.exe', '32');
 DeleteFile('C:\Users\Илья\appdata\roaming\svchost.exe', '32');
 DeleteFile('C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
 DeleteService('Coupons Browser Update Service');
 DeleteService('QipGuard');
 DeleteFileMask('c:\program files\ultimate-discounter browser', '*', true);
 DeleteDirectory('c:\program files\ultimate-discounter browser');
 ExecuteFile('schtasks.exe', '/delete /TN "{26DCA50F-1D25-482A-A2AA-8B3404547535}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{31649840-DC01-4CBB-A524-8A2B2E710BEB}" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #1');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(17);
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Сделайте лог Malwarebytes AdwCleaner.

**Илья Черенков** · 25.07.2017, 16:19

Отчет по работе прикреплён. А при запуске AdwCleaner компьютер выдаёт ошибку, и говорит, что отказано в доступе. Вот что там написано : 22:19:32: Failed to create a temporary file name (error 5: отказано в доступе.)
22:19:32: can't open user configuration file.
22:19:32: Failed to create a temporary file name (error 5: отказано в доступе.)
22:19:32: can't open user configuration file.

**Vvvyg** · 25.07.2017, 19:28

Отключите временно антивирус и попробуйте снова.

**Илья Черенков** · 25.07.2017, 19:51

Ничего не изменилось

**Vvvyg** · 25.07.2017, 19:59

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

**Илья Черенков** · 26.07.2017, 16:42

Вот два файла

**Vvvyg** · 26.07.2017, 22:57

Удалите Html5 geolocation provider, это adware.

Удалите MediaGet, он, насколько я знаю, рекламу показывает.

Запустите FRST/FRST64. В окне программы нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.qip.ru
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net/?im
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.qip.ru
HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811040
URLSearchHook: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 - QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\qipsearchbar.dll (qip.ru)
SearchScopes: HKLM -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKLM -> {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> DefaultScope {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxps://yandex.ru/search/?text={searchTerms}&clid=2261463
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {95289393-33EA-4F8D-B952-483415B9C955} URL = hxxp://search.qip.ru/?query={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} URL = hxxp://search.qip.ru/search?query={searchTerms}&from=IE
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3769656520-2758395152-1507551671-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BA6CE39E0-8D3C-4A38-8386-5F6B44C59AB4%7D&gp=811041
BHO: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO: Поиск@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Илья\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2017-05-11] (Mail.Ru)
FF Extension: (DAEMON Tools Toolbar) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2012-10-07] [not signed]
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2017-01-15]
FF Extension: (QipCounter) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2012-12-21] [not signed]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\[email protected] [2017-01-15]
FF Extension: (Спутник @Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\{37964A3C-4EE8-47b1-8321-34DE2C39BA4D} [2012-11-04] [not signed]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-15]
FF Extension: (HTML5 location provider) - C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\Extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [2014-04-22] [not signed]
FF SearchPlugin: C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\searchplugins\mailru---.xml [2012-11-11]
FF SearchPlugin: C:\Users\Илья\AppData\Roaming\Mozilla\Firefox\Profiles\jq02e6kf.default\searchplugins\qip-search.xml [2013-08-07]
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\mailru.xml [2012-02-16]
FF Plugin HKU\S-1-5-21-3769656520-2758395152-1507551671-1001: @altergeo.ru/Html5loc -> C:\ProgramData\AlterGeo\Update for Html5 geolocation provider\npHtml5loc.dll [2014-08-01] (Altergeo)
CHR HomePage: Default -> mail.ru
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040"
CHR HKLM\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [nhgcieglcpdegkhamigiokdphfhhnlhh] - C:\Program Files\AlterGeo\Html5 geolocation provider\altergeo.crx [2012-06-06]
CHR HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3769656520-2758395152-1507551671-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
2017-07-25 13:30 - 2017-07-25 13:30 - 00000000 ____D C:\MSIdcfed.tmp
2017-07-25 13:30 - 2017-07-25 13:30 - 00000000 ____D C:\_551717_
2017-07-25 13:29 - 2017-07-25 13:29 - 00000000 ____D C:\DX6FC4.tmp
2017-07-19 11:56 - 2017-07-19 11:56 - 00000000 ____D C:\MSId9a6d.tmp
2017-07-19 11:55 - 2017-07-19 11:55 - 00000000 ____D C:\MSId9a6a.tmp
2017-07-19 11:52 - 2017-07-19 11:52 - 00000053 _____ C:\281455705.tmp.bat
2017-07-18 17:13 - 2017-07-18 17:13 - 00000000 ____D C:\Windows\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
2017-07-18 17:13 - 2017-07-18 17:13 - 00000000 ____D C:\_411960_
2017-07-18 17:11 - 2017-07-18 17:11 - 00000000 ____D C:\MSI293d6.tmp
2017-07-18 17:11 - 2017-07-18 17:11 - 00000000 ____D C:\DX3F.tmp
2017-07-18 11:25 - 2017-07-18 11:25 - 00000000 ____D C:\Windows\64467D47FFE44FBCABBAA0DB829A17EB.TMP
2017-07-18 11:24 - 2017-07-18 11:24 - 00000000 ____D C:\DX13D1.tmp
2017-07-18 11:04 - 2017-07-18 11:04 - 00000000 ____D C:\MSIa791b.tmp
2017-07-18 11:03 - 2017-07-18 11:03 - 00000000 ____D C:\MSIa7918.tmp
22017-07-18 08:47 - 2017-07-18 08:47 - 00000000 ____D C:\MSIe33eb.tmp
2017-07-14 22:27 - 2017-07-14 22:27 - 00000000 ____D C:\MSI941a6.tmp
2017-07-14 22:24 - 2017-07-14 22:24 - 00000000 ____D C:\MSI70bea.tmp
2017-07-14 22:24 - 2017-07-14 22:24 - 00000000 ____D C:\MSI70be5.tmp
2017-07-14 22:22 - 2017-07-14 22:22 - 00000000 ____D C:\_880770_
2017-07-11 00:13 - 2017-07-11 00:13 - 00000000 ____D C:\MSId8af8.tmp
2017-07-11 00:13 - 2017-07-11 00:13 - 00000000 ____D C:\MSId8ae2.tmp
2017-07-07 16:29 - 2017-07-07 16:29 - 00000000 ____D C:\MSI56dcd.tmp
2017-07-07 16:29 - 2017-07-07 16:29 - 00000000 ____D C:\MSI56db7.tmp
2016-07-10 23:10 - 2014-10-28 02:38 - 3580520 _____ () C:\Users\Илья\AppData\Roaming\svchost.exe
ContextMenuHandlers01: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} => C:\Users\Илья\AppData\Roaming\Mail.Ru\Agent\Mra\dll\mramenu.dll -> No File
ContextMenuHandlers01: [MRAICQCMenu] -> {7C9E7B90-88EC-4852-AC7A-C938268A5D04} => C:\Users\Илья\AppData\Roaming\ICQM\ICQ\dll\mramenu.dll -> No File
Task: {5094988D-E771-4EC0-8881-26BC21EE34E0} - \new1newsnetvzxcsm -> No File <==== ATTENTION
Task: {77887C1A-1F06-4BAE-8663-7E3CE3B80570} - System32\Tasks\Games\UpdateCheck_S-1-5-21-3769656520-2758395152-1507551671-1001
Task: {BF82A11B-6E36-4453-A966-9864F654FC63} - \Microsoft\Windows\PMS\PMS -> No File <==== ATTENTION
C:\Users\Илья\Desktop\Все папки и ярлыки\Gооglе Сhrоmе.lnk
C:\Program Files\Google\Chrome\chrome.bat
C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk
FirewallRules: [{0DE731BA-FE82-4E5B-AA1D-8BC228340F64}] => (Allow) C:\Program Files\TorrentExpress\SmallTE.exe
FirewallRules: [{E26E3741-2D82-47CE-AC4E-B707B945A4E0}] => (Allow) C:\Program Files\TorrentExpress\SmallTE.exe
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

Если не поможет - отключите все расширения в Chrome, если пропадёт реклама - подключайте по одному, проверяйте эффект. Расширения часто подменяют, какое именно - понять можно только перебором.
Сообщите результат.

**Илья Черенков** · 27.07.2017, 08:43

Вот файл

**Vvvyg** · 27.07.2017, 22:47

Что с проблемами?

**Илья Черенков** · 31.07.2017, 04:24

Папки до сих пор присутствуют, и их становится всё больше. До сих пор проблема с доступом к некоторым файлам. Не могу почистить диск C. А рекламы нет.

**Vvvyg** · 31.07.2017, 07:04

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Илья Черенков** · 31.07.2017, 09:23

Вот файл

**Vvvyg** · 31.07.2017, 20:37

Папки вида MSI*.TMP создаёт Windows Installer. Вопрос - почему столько создаёт всё время, но к вирусам это отношения не имеет.

**Илья Черенков** · 02.08.2017, 04:03

Понятно. А с вирусами вы можете мне помочь?

**Vvvyg** · 02.08.2017, 06:53

А ничего серьёзного нет.

Сделайте лог Malwarebytes AdwCleaner.

**CyberHelper** · 02.08.2017, 07:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 5
В ходе лечения вредоносные программы в карантинах не обнаружены

Сами создаются новые папки, которые трудно удалить (заявка № 213985)

Опции темы