Перейти к содержанию
Правила раздела

В пользователях папка с черными ромбами

lyudenis

Автор lyudenis
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

lyudenis

lyudenis

Опубликовано
Опубликовано (изменено)

Добрый день! Столкнулся с такой же проблемой, как в этой теме

Но, т.к. она закрыта, пришлось создать новую. извините :(

Так вот, может подскажите, из-за чего эта "бяка" создается каждый раз, после удаления и перезапуска ПК?

Во вложении прикрепляю свой лог.hijackthis.rar

CollectionLog-2015.04.08-12.02.zip Спасибо

Изменено пользователем lyudenis
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
 
Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.
 
Здравствуйте! 
 
 
Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 
begin
 QuarantineFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
 DeleteService('BAPIDRV');
 DeleteFile('C:\Windows\system32\DRIVERS\BAPIDRV64.sys','32');
 DeleteFile('C:\Users\Александр\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Safebrowser','64');
 DeleteFile('C:\Windows\system32\Tasks\ASP','64');
 DeleteFile('C:\Windows\system32\Tasks\kbrowser-updater-utility','64');
ExecuteSysClean;
RebootWindows(true);
end.
 
Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:
 
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
 
quarantine.zip из папки AVZ отправьте через данную форму.
1. Выберите тип запроса "Запрос на исследование вредоносного файла".
2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".
3. Прикрепите файл карантина
4. Введите изображенное на картинке число и нажмите "Далее".
5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com
 Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).
 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e84df35f77230ddd27d7441bbaf45b81&text={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=e84df35f77230ddd27d7441bbaf45b81&text={searchTerms}
 
  • Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
  • Распакуйте архив с утилитой в отдельную папку.
  • Запустите ClearLnk и скопируйте в окно программы следующий текст:
 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Александр\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Kinoroom Browser.lnk
 
  • Нажмите на кнопку "Лечить" и дождитесь окончания работы программы.
  • Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
  • Прикрепите этот отчет к своему следующему сообщению.
 
 
 
 
Сделайте новые логи Автологгером. 
 
 

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
3munStB.png
 
 
  • Согласен 1
mike 1

mike 1

Опубликовано
Опубликовано

 

  • Скoпируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
CreateRestorePoint:
CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-4248050781-4245941909-546766342-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKU\S-1-5-21-4248050781-4245941909-546766342-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [kneggodalbcmgdkkfhbhbicbbahnacjb] - http://vkplayerpro.ru/index.xml
CHR HKLM-x32\...\Chrome\Extension: [nkcpopggjcjkiicpenikeogioednjeac] - C:\Users\Александр\AppData\Local\Temp\nkcpopggjcjkiicpenikeogioednjeac.crx [Not Found]
Folder: C:\Users\?????????
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 __SHD () C:\Users\Все пользователи\360Quarant
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 __SHD () C:\ProgramData\360Quarant
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 __SHD () C:\$360Section
2015-02-27 09:11 - 2015-02-27 09:11 - 00000000 ____D () C:\Windows\Tasks\360Disabled
2015-02-27 09:12 - 2014-12-08 09:25 - 00023752 _____ (360????) C:\Windows\SysWOW64\Drivers\efimon.sys
2014-04-03 14:48 - 2014-09-11 07:59 - 0000000 _____ () C:\Users\Александр\AppData\Roaming\smw_inst
Task: {7A4BFC34-5325-4E33-9716-EAD60689E8C4} - \kbrowser-updater-utility No Task File <==== ATTENTION
Task: {8416425D-CB60-417B-91BA-28A84BE2A3AC} - \Safebrowser No Task File <==== ATTENTION
Task: {DA34E7E5-B7DF-450B-8F2A-423353F7417A} - \ASP No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:8DAF83BD
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8DAF83BD
EmptyTemp:
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
  • Согласен 1
lyudenis

lyudenis

Опубликовано
  • Автор
Опубликовано

Прикрепил. 

 

Еще на почту прислали письмо с техподдержки касперского

 

 

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.  

quarantine.zip

Этот файл повреждён.

С уважением, Лаборатория Касперского

 

Fixlog.txt

mike 1

mike 1

Опубликовано
Опубликовано 
C:\Users\?????????

Какие файлы находятся в этой папке?

mike 1

mike 1

Опубликовано
Опубликовано

Попробуйте удалить папку. 

lyudenis

lyudenis

Опубликовано
  • Автор
Опубликовано

@mike 1, походу нашел проблему) эту папку создает "Mail.ru агент" при запуске :rolleyes:  :rolleyes: он у меня на автозагрузке стоял. Отключил, удалил папку - не появилась до запуска агента. только странно, почему именно в пользователях и такими закорючками создается эта папка.. 

mike 1

mike 1

Опубликовано
Опубликовано

 

 

 почему именно в пользователях и такими закорючками создается эта папка.. 

 

Наверное это лучше у Mail спросить. 

lyudenis

lyudenis

Опубликовано
  • Автор
Опубликовано

@mike 1, да, конечно) этот вопрос я задам им) Спасибо большое Вам за помощь) тему наверное можно закрыть) 

 

Сообщение от модератора Mark D. Pearlstone
Тема закрыта.
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...