В пользователях папка с черными ромбами

[lyudenis]

Добрый день! Столкнулся с такой же проблемой, как в этой теме

Но, т.к. она закрыта, пришлось создать новую. извините

Так вот, может подскажите, из-за чего эта "бяка" создается каждый раз, после удаления и перезапуска ПК?

Во вложении прикрепляю свой лог.hijackthis.rar

CollectionLog-2015.04.08-12.02.zip Спасибо

Изменено 8 апреля, 2015 пользователем lyudenis

[MotherBoard]

Правила http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[lyudenis]

Правила http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

извините. исправил вроде все)

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 DeleteService('BAPIDRV');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\ASP','64');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e84df35f77230ddd27d7441bbaf45b81&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e84df35f77230ddd27d7441bbaf45b81&text={searchTerms}

 

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.

• Распакуйте архив с утилитой в отдельную папку.

• Запустите ClearLnk и скопируйте в окно программы следующий текст:

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk

 

• Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.

• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

• Прикрепите этот отчет к своему следующему сообщению.

 

 

 

 

Сделайте новые логи Автологгером. 

 

 

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

• Нажмите кнопку Scan.

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

 

[lyudenis]

mike 1, 

 

спасибо. сделал все по инструкции. прикрепляю вышеуказанные файлы

Addition.txt

ClearLNK-08.04.2015_13-16.log

CollectionLog-2015.04.08-13.24.zip

FRST.txt

[mike 1]

 

• Скoпируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-4248050781-4245941909-546766342-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKU\S-1-5-21-4248050781-4245941909-546766342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Александр\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
Folder: C:\Users\?????????
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 __SHD () C:\Users\Все пользователи\360Quarant
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 __SHD () C:\ProgramData\360Quarant
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 __SHD () C:\$360Section
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 ____D () C:\Windows\Tasks\360Disabled
2015-02-27 09:12 - 2014-12-08 09:25 - 00023752 _____ (360????) C:\Windows\SysWOW64\Drivers\efimon.sys
2014-04-03 14:48 - 2014-09-11 07:59 - 0000000 _____ () C:\Users\Александр\AppData\Roaming\smw_inst
Task: {7A4BFC34-5325-4E33-9716-EAD60689E8C4} - \kbrowser-updater-utility No Task File <==== ATTENTION
Task: {8416425D-CB60-417B-91BA-28A84BE2A3AC} - \Safebrowser No Task File <==== ATTENTION
Task: {DA34E7E5-B7DF-450B-8F2A-423353F7417A} - \ASP No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:8DAF83BD
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8DAF83BD
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

[lyudenis]

Прикрепил. 

 

Еще на почту прислали письмо с техподдержки касперского

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

Fixlog.txt

[mike 1]

C:\Users\?????????

Какие файлы находятся в этой папке?

[lyudenis]

@mike 1, папка voip и все 

[mike 1]

Попробуйте удалить папку. 

[lyudenis]

@mike 1, походу нашел проблему) эту папку создает "Mail.ru агент" при запуске    он у меня на автозагрузке стоял. Отключил, удалил папку - не появилась до запуска агента. только странно, почему именно в пользователях и такими закорючками создается эта папка.. 

[mike 1]

 

 

 почему именно в пользователях и такими закорючками создается эта папка.. 

 

Наверное это лучше у Mail спросить. 

[lyudenis]

@mike 1, да, конечно) этот вопрос я задам им) Спасибо большое Вам за помощь) тему наверное можно закрыть) 

 

Сообщение от модератора Mark D. Pearlstone

Тема закрыта.