Подозрительное исчезновение папок из корневого каталога диска C

[Виктор Толмачев]

Здравствуйте!

Довольно странное явление обнаруживаю. Сначала на днях было очищено содержимое Корзины. "Грешил" на что-нибудь из чистилок системы.

Однако, вчера обнаружил, что исчезли пару exe-шников (один - игровой, второй - программы Fraps). Начал подозревать, что это мог сотворить один из антивирусов (установлен Kaspersky Free, Malwarebytes, SUPERAntiSpyware Free и портативный Zemana). Но я бы не мог не заметить удаление антивирусами без моего подтверждения, кроме того, данные файлы никогда не определялись зараженными, тем более они старые и проверенные временем.

Сегодня обнаружил, что еще один ярлык на Рабочем столе тоже стал выглядеть как на недоступный файл. И что я вижу: в корневом каталоге диска нет двух папок (вышеупомянутого Fraps'а и игровой, но расположенный в корневом). Интересно то, что удалились как раз первые две верхние папки с содержимым. Насчет одного из вчера обнаруженных exe-шников, то сегодня заметил, что не exe-шник удален, а вовсе целая папка с двумя играми (располагаясь в C:\Games\1C). Я не мог проследить, в какое время они удалились, сразу или поочередно (вчера и сегодня). Я подумал, это может быть вирус. Но нет ничего подозрительного ни в автозагрузке, ни в процессах. Проверил систему Касперским - ничего он не обнаруживает. Но, к сожалению, антивирусная защита была отключена.

Чтобы подхватить вирус, достаточно установить любое приложение из сомнительных источников. На днях я устанавливал некоторые программы и мини-игры. Программы, должно быть, доверенные, т.к. качал с сайта comss.ru. А именно: VeraCrypt (криптография), IObit Unlocker, EaseUS Partition Master 10.8, LocK-A-FoLdeR и Toolwiz Time Freeze 2017 (для защиты данных от изменений). Из этих программ всё, что запускается каждый день, то это только Time Freeze. Но ее "заморозка" не была к сожалению активна и не пользовался ею.

 

Устанавливал игры, но не с интернета, а брал диск. Да, на некоторые из них кое-что из антивирусов реагируют. Одна из игр, чаще всего запускаемая на ПК, Gem Ball, проверена VirusTotal, но, как правило, такие сообщения я обхожу, т.к. определяются как Trojan Patched, но хорошие антивирусы не обнаруживают в них ничего опасного.

Также ставил: Mirror Magic Deluxe, Musikapa, Pirates of the Atlantic, Teddy Factory, Temple of Bricks, Magic Gem, Maui And The Big Fish, Microblots, Navigatris, Slickball, Super Elf Bowling 2, Talismania (несколько невзрачных антивирусов определяют как Worm Collab, остальные же - чистым), Water Bugs и Wik And The Fable Of Souls. И я не знаю, стоит их сносить, ведь причина и в чем-то другом может быть, не исключаю. Я их ранее проверял на другом компьютере, всё было в порядке.

Из онлайн-игр эти несколько дней запускал только игру Аквамир 3D (ВКонтакте).

Я не знаю, есть ли взаимосвязь между всем этим. Но каких-либо других изменений за эти несколько дней не было. 

 

Существует ли такой вирус, что мог бы быть незаметным для антивирусного сканера, удаляющий папки с корневого каталога диска, не все, но по порядку?

Изменено 10 июля, 2016 пользователем Виктор Толмачев

[kmscom]

Порядок оформления запроса о помощи

[Виктор Толмачев]

Порядок оформления запроса о помощи

Скажите, а как альтернативой Removal Tool подойдет уже установленный Kaspersky Antivirus Free с последним обновлением (им, кстати, уже проверял)? Очень накладно при медленном соединении и, боюсь, может быть готово даже не завтра.

[mike 1]

Пропускайте проверку тогда с помощью Removal Tool и переходите сразу к сбору логов.

[Виктор Толмачев]

Пояснение (дополнение).

Какие именно директории я обнаружил удаленными:

  C:\Anachronox

  C:\Fraps

  C:\Games\1C

Не исключено, что могло быть что-то еще, но это пока всё, что я заметил.

Fraps был снова сегодня установлен и созданы пара папок (G1, G2, чтобы на всякий не удалялось то, что ниже их).

Вспомнил, что устанавливал также демо-версию одного из приложений от Steganos (что-то вроде сейф-диска), но оно было мной удалено раньше.

Если что вспомню еще, обязательно отпишусь.

CollectionLog-2016.07.11-00.34.zip

[mike 1]

Деинсталлируйте:

Spybot - Search & Destroy []-->"C:\Program Files\Spybot - Search & Destroy 2\unins000.exe"
SUPERAntiSpyware []-->"C:\Program Files\SUPERAntiSpyware\Uninstall.exe"
Toolwiz Time Freeze 2017 []-->C:\Program Files\Toolwiz Time Freeze 2017\UninstallToolwizTimeFreeze.exe /REMOVE

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Виктор Толмачев]

Готово.

По окончанию общего процесса, если с удаленными программами (Spybot, TimeFreeze и SuperAntispyware) проблем не окажется, установить заново их можно будет?

FRST.txt

Addition.txt

[mike 1]

Не рекомендую к установке Spybot и SuperAntispyware. По сути это бесполезные программы.

 

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

 

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} =>  No File
BootExecute: autocheck autochk * sdnclean.exe
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR DefaultSearchKeyword: Default -> hma
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
2016-07-11 10:36 - 2015-02-24 16:15 - 00000000 ____D C:\Users\Все пользователи\Spybot - Search & Destroy
2016-07-11 10:36 - 2015-02-24 16:15 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2016-02-23 15:42 - 2016-02-23 15:42 - 0000001 _RHOT () C:\Users\0000\AppData\Roaming\Baidu
EmptyTemp:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

• Внимание! Если на рабочем столе будет создан архив upload.zip, то загрузите этот архив через данную форму

 

 

[Виктор Толмачев]

Прикрепил. Файла upload.zip на Рабочем столе не было.

Fixlog.txt

[mike 1]

Больше плохого не видно. Исчезновение папок скорее всего было связано с Toolwiz Time Freeze 2017, возможно забыли отключить заморозку системы. 

[Виктор Толмачев]

Больше плохого не видно. Исчезновение папок скорее всего было связано с Toolwiz Time Freeze 2017, возможно забыли отключить заморозку системы. 

Вряд ли, т.к. установленный Toolwiz не был в режиме заморозки, но при этом был установлен и находился в трее. Я им вынужден был воспользоваться уже после обнаружения удаленных каталогов. А каталоги старые, кое-какие еще с прошлого года. Добраться до них точно никто не мог.

Я даже не жесткий диск подумал, может он каким-нибудь загадочным образом сам мог стереть. Не знаю, что подозревать.

Остается только логически завершить тему. Спасибо, что уделили время на поиск возможного вируса.