Подозрительная папка в Users

[Corlito]

Полез чистить диск и случайно увидел вот такое чудо

 

Я так понимаю какая то зараза поселилась у меня? Судя по дате создания и изменения файлы висят аж с 2012 года. Ни один антивирь не видит этих файлов.

CollectionLog-2017.09.10-16.53.zip

Изменено 10 сентября, 2017 пользователем Corlito

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[regist]

Здравствуйте!

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2) Деинсталируйте

Ask Toolbar [20170615]-->MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Html5 geolocation provider [20120528]-->MsiExec.exe /I{192C5AC9-F693-4BEF-A98F-35EAAD534D57}

3)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 QuarantineFile('C:\Program Files\Intel\SUR\WILLAMETTE\ESRV\task.vbs', '');
 QuarantineFile('C:\ProgramData\TimeTasks\timetasks.exe', '');
 QuarantineFile('C:\Users\Эмиль\appdata\roaming\txt.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFileF('c:\program files (x86)\gmsd_ru_005010142', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\timetasks', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFile('C:\ProgramData\TimeTasks\timetasks.exe', '32');
 DeleteFile('C:\Users\Эмиль\appdata\roaming\txt.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFileMask('c:\program files (x86)\gmsd_ru_005010142', '*', true);
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteFileMask('c:\programdata\timetasks', '*', true);
 DeleteDirectory('c:\program files (x86)\gmsd_ru_005010142');
 DeleteDirectory('c:\program files (x86)\zaxar');
 DeleteDirectory('c:\programdata\timetasks');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\gmsd_ru_005010142', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Timestasks', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarGameBrowser', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 4) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

5) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes: DefaultScope = {FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B09EDD607-0BE2-4CF6-83EF-E525CE9A52C3%7D&gp=811022
R4 - HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{FFEBBF0A-C22C-4172-89FF-45215A135AC7} - Поиск@Mail.Ru - http://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B09EDD607-0BE2-4CF6-83EF-E525CE9A52C3%7D&gp=811022
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing)
O2-32 - BHO: Html5 geolocation provider - {9BFBA68E-E21B-458E-AE12-FE85E903D2C0} - (no file)
O3 - Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - (no file)
O3-32 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing)
O4 - HKCU\..\Run: [QIP.Online] C:\Program Files (x86)\QIP.Online\qiponline.exe auto_start (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Gizmo.lnk - C:\Program Files (x86)\Gizmo\gizmo.exe /NoSplash /NoShow (2013/09/13) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Эмиль^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^SmartWeb.lnk - C:\Users\Эмиль\AppData\Local\SmartWeb\SmartWebHelper.exe (2015/11/11) (file missing)
O4 - MSConfig\startupreg: [2Gis Update Notifier] C:\Program Files (x86)\2gis\3.0\2GISTrayNotifier.exe -delayed_start (file missing) (HKLM) (2015/10/18)
O4 - MSConfig\startupreg: [Adguard] C:\Program Files (x86)\Adguard\Adguard.exe /nosplash (file missing) (HKCU) (2017/02/08)
O4 - MSConfig\startupreg: [AlcoholAutomount] C:\Program Files (x86)\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe -automount (file missing) (HKCU) (2015/10/18)
O4 - MSConfig\startupreg: [AlterGeoUpdater] C:\Program Files (x86)\AlterGeo\Html5 geolocation provider\html5locsvc.exe (file missing) (HKLM) (2015/11/11)
O4 - MSConfig\startupreg: [Ashampoo HDD-Control 2 Guard] C:\Program Files (x86)\Ashampoo\Ashampoo HDD Control 2\AHDDC2_Guard.exe  (file missing) (HKLM) (2015/11/11)
O4 - MSConfig\startupreg: [BlueStacks Agent] C:\Program Files (x86)\BlueStacks\HD-Agent.exe (file missing) (HKLM) (2017/02/08)
O4 - MSConfig\startupreg: [GizmoDriveDelegate] C:\Program Files (x86)\Gizmo\gizmo.exe /RemountStartupImages (file missing) (HKCU) (2013/09/13)
O4 - MSConfig\startupreg: [Google Update] C:\Users\Эмиль\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (HKCU) (2015/10/18)
O4 - MSConfig\startupreg: [Hide.me] C:\Program Files (x86)\HideME.ru VPN\Start.exe (file missing) (HKCU) (2015/10/18)
O4 - MSConfig\startupreg: [MailRuUpdater] C:\Users\Эмиль\AppData\Local\Mail.Ru\MailRuUpdater.exe  (file missing) (HKCU) (2013/09/13)
O4 - MSConfig\startupreg: [MinerGateGui] C:\Program Files\MinerGate\minergate.exe --auto (file missing) (HKCU) (2017/02/08)
O4 - MSConfig\startupreg: [Nvtmru] C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe  (file missing) (HKLM) (2015/10/18)
O4 - MSConfig\startupreg: [PSwitch] C:\Program Files (x86)\Proxy Switcher Standard\ProxySwitcher.exe (file missing) (HKCU) (2013/09/13)
O4 - MSConfig\startupreg: [Plex Media Server] C:\Program Files (x86)\Plex\Plex Media Server\Plex Media Server.exe  (file missing) (HKCU) (2017/02/08)
O4 - MSConfig\startupreg: [ProductUpdater] C:\Program Files (x86)\Common Files\Freemake Shared\ProductUpdater\ProductUpdater.exe (file missing) (HKLM) (2017/02/08)
O4 - MSConfig\startupreg: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s (file missing) (HKLM) (2013/09/13)
O4 - MSConfig\startupreg: [SFAUpdater] C:\Program Files (x86)\Smart File Advisor\SFAUpdater.exe  (file missing) (HKLM) (2015/10/18)
O4 - MSConfig\startupreg: [Smart File Advisor] C:\Program Files (x86)\Smart File Advisor\sfa.exe /checkassoc (file missing) (HKLM) (2015/10/18)
O4 - MSConfig\startupreg: [TablacusApp2] C:\Users\Эмиль\AppData\Roaming\TablacusApp\TablacusApp.exe  (file missing) (HKCU) (2017/02/08)
O4 - MSConfig\startupreg: [Timestasks] C:\ProgramData\TimeTasks\timetasks.exe" " (file missing) (HKLM) (2015/11/11)
O4 - MSConfig\startupreg: [ZaxarGameBrowser] C:\Program Files (x86)\Zaxar\ZaxarGameBrowser.exe -s (file missing) (HKLM) (2015/11/11)
O4 - MSConfig\startupreg: [ZaxarLoader] C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (file missing) (HKLM) (2015/11/11)
O4 - MSConfig\startupreg: [gmsd_ru_005010142] C:\Program Files (x86)\gmsd_ru_005010142\gmsd_ru_005010142.exe  (file missing) (HKLM) (2015/11/11)
O4 - MSConfig\startupreg: [iTunesHelper] C:\Program Files (x86)\iTunes\iTunesHelper.exe  (file missing) (HKLM) (2013/09/13)
O4 - MSConfig\startupreg: [instanteyedropper] C:\Program Files (x86)\InstantEyedropper\InstantEyedropper.exe  (file missing) (HKCU) (2017/02/08)
O9-32 - Extra 'Tools' menuitem: Mail.Ru Агент - HKLM\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files (x86)\Mail.Ru\Agent\magent.exe (file missing)
O9-32 - Extra button: Mail.Ru Агент - HKLM\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\Program Files (x86)\Mail.Ru\Agent\magent.exe (file missing)
O9-32 - Extra button: PokerStars - HKLM\..\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files (x86)\PokerStars\PokerStarsUpdate.exe (file missing)
O22 - Task (Ready): Scheduled Update for Ask Toolbar - C:\Program Files (x86)\Ask.com\UpdateTask.exe (file missing)
O22 - Task (Ready): \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (file missing)

6) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Интернет.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Интернет.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Интернет.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Вконтакте.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Вконтакте.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Вконтакте.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Одноклассники.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Одноклассники.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго\Амиго.Музыка.lnk
C:\Users\Администратор\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk
C:\Users\Администратор\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MoneyBot.exe.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Screaming Frog SEO Spider\Screaming Frog SEO Spider.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Screaming Frog SEO Spider\Uninstall Screaming Frog SEO Spider.lnk
C:\Users\Эмиль\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\ff8cbd6a402a4da4\FullTilt.lnk
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\members_30602036_2014-06-19.LNK
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\newsitediz.LNK
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\пьянка.LNK
C:\Users\Администратор\Desktop\Web Text Extractor.lnk
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\sem-yadro-domltd.ru.LNK
C:\Users\Эмиль\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\25bb2cdfb96af2d6\PokerStars.lnk
C:\Users\Администратор\Desktop\Continue installation .lnk
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\forecast.2939.LNK
C:\Users\Эмиль\Desktop\Домашний медиа-сервер (UPnP, DLNA).lnk
C:\Users\Public\Desktop\Full Tilt Poker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Full Tilt Poker\Удалить Full Tilt Poker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Full Tilt Poker\Full Tilt Poker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Жукладочник\Жукладочник.lnk
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\members_60708045_2014-06-19.LNK
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Жукладочник\Официальный сайт программы.lnk
C:\Program Files (x86)\WebBug\Жукладочник\Записки Жука.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Жукладочник\Uninstall.lnk
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\Result.LNK
C:\Users\Эмиль\Desktop\Microsoft Office Excel 2007 Rus Portable by Valx\Data\roaming\modified\@APPDATA@\Microsoft\Office\Последние файлы\VkCombain v 1.1.LNK
C:\Users\Эмиль\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DS3 Tool.lnk

6)
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

7)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

 

8) В закладки IE это сами добавили? Нужно?

C:\Users\Эмиль\Favorites\Mail.Ru.url
C:\Users\Эмиль\Favorites\Mail.Ru Агент - используй для общения!.url
C:\Users\Эмиль\Favorites\Яндекс\Новости.url
C:\Users\Эмиль\Favorites\Яндекс\Фотки.url
C:\Users\Эмиль\Favorites\Яндекс\Почта.url
C:\Users\Эмиль\Favorites\Яндекс\Словари.url
C:\Users\Эмиль\Favorites\Яндекс\Погода.url
C:\Users\Эмиль\Favorites\Яндекс\Карты.url
C:\Users\Эмиль\Favorites\Яндекс\Маркет.url
C:\Users\Эмиль\Favorites\Яндекс\Музыка.url
C:\Users\Эмиль\Favorites\Links\Котировки.url
C:\Users\Эмиль\Favorites\Links\Яндекс.url
C:\Users\Эмиль\Favorites\Links\Почта.url
C:\Users\Эмиль\Favorites\Links\Карты.url
C:\Users\Эмиль\Favorites\Links\Маркет.url
C:\Users\Эмиль\Favorites\Links\Новости.url
C:\Users\Эмиль\Favorites\Links\Словари.url
C:\Users\Эмиль\Favorites\Links\Видео.url
C:\Users\Эмиль\Favorites\Links\Музыка.url
C:\Users\Эмиль\Favorites\Links\Диск.url

Изменено 10 сентября, 2017 пользователем regist

[Corlito]

1) https://virusinfo.info/virusdetector/report.php?md5=E997E606E8C49CF52D9188F04D72A561

2) удалил

3) сделал

4) отправил

5) исправил

6) прикрепил 

7) прикрепил

8) не добавлял, вообще IE не пользуюсь

ClearLNK-10.09.2017_19-06.log

AdwCleanerS0.txt

[regist]

4) Ответ вирлаба по файлам напишите тут.

8) Тогда эти ярлыки тоже исправьте через ClearLNK, либо просто удалите руками (эффект в данном случае будет одинаковый)

 

А логи сейчас гляну.

1)

VKSaver [2014/09/21 11:14:05]-->"C:\ProgramData\VKSaver\VKSaver.exe" -uninstall

используете? Можете его хотя бы временно деинсталировать?

 

2) Вижу вы успели и ComboFix запустить. Хорошо, что не убили им свою систему. C:\ComboFix.txt прикрепите к сообщению.

 

3)

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

не сделали, жду.