Скрытая папка RunDLL с подозрительными файлами

@Armyhor · Регистрация: 10.11.2019

Author24 — интернет-сервис помощи студентам

Здравствуйте, проблема вот в чем, в процессе игры вечером заметил сильное проседание кадров, что было ненормальным. После выхода на рабочий стол и открытия диспетчера задач, тот сам по себе закрывался через пару минут. После очередного открытия диспетчера задач обнаружил процесс rundll.exe, который завершил вручную. Далее прошелся по компьютеру антивирусами и утилитами dr.curelt и остальными, подчистил пк и проблема вроде как исчезла. Но в папке ProgramData есть скрытая папка RunDLL которую видят только dr.curelt и некоторые другие программы. Утилита нашла эти файлы и эту папку и удалила, но папка остается на своем месте. Как удалить эту папку и ее содержимое безвозвратно?

Добавлено через 5 часов 30 минут
В темах что есть на форуме ничего похожего не нашел

@Armyhor · 16.11.2019, 13:36 **[ТС]**

AdwCleaner запустился, прикрепляю логи

@Sandor · 16.11.2019, 18:57

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

@Armyhor · 17.11.2019, 16:00 **[ТС]**

Прикрепляю отчет, все сделал по инструкции, папки RunDLL больше нету. Теперь появилась другая проблема. AdWCleaner нашел расширение для Chrome называется Chameleon. После его удаления захожу в браузер и он снова устанавливается в расширениях, но я его отключаю. Что с этим делать? вот логи

@Sandor · 17.11.2019, 20:44

Удалите старые и соберите новые FRST.txt и Addition.txt

@Armyhor · 18.11.2019, 19:56 **[ТС]**

Сделал, прикрепляю архив

@Sandor · 18.11.2019, 22:08

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
CloseProcesses:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811560
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=802811","hxxps://www.google.com.ua/webhp?tab=ww&ei=d1VcVuPGJuG6ygOfpLbgBA&ved=0EKkuCAEoAQ"
CHR Notifications: Default -> hxxps://www.youtube.com
CHR HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dmpojjilddefgnhiicjcmhbkjgbbclob] - hxxp://clients2.google.com/service/update2/crx
2019-11-17 14:25 - 2015-06-01 13:21 - 000000000 ____D C:\Program Files (x86)\IObit
2019-10-10 21:38 C:\KVRT_Data
2019-10-10 21:39 C:\Program Files\AVAST Software
2019-10-10 21:39 C:\Program Files\AVG
2019-10-10 21:39 C:\Program Files\Cezurity
2019-10-10 21:38 C:\Program Files\COMODO
2019-10-10 21:39 C:\Program Files\ESET
2019-10-10 21:39 C:\Program Files\Kaspersky Lab
2019-10-10 21:38 C:\Program Files\Malwarebytes
2019-10-10 21:38 C:\Program Files (x86)\360
2019-10-10 21:39 C:\Program Files (x86)\AVAST Software
2018-11-24 10:48 C:\Program Files (x86)\AVG
2019-10-10 21:39 C:\Program Files (x86)\Cezurity
2019-10-10 21:39 C:\Program Files (x86)\GRIZZLY Antivirus
2019-10-10 21:39 C:\Program Files (x86)\Kaspersky Lab
2019-10-10 21:38 C:\Program Files (x86)\Microsoft JDX
2019-10-10 21:39 C:\Program Files (x86)\Panda Security
2019-10-10 21:38 C:\Windows\speechstracing
2019-10-10 21:39 C:\Program Files\Common Files\McAfee
2019-10-10 21:38 C:\ProgramData\360safe
2019-10-10 21:39 C:\ProgramData\AVAST Software
2019-10-10 21:38 C:\ProgramData\Driver Foundation Visions VHG
2019-10-10 21:39 C:\ProgramData\ESET
2019-10-10 21:39 C:\ProgramData\grizzly
2019-10-10 21:39 C:\ProgramData\Kaspersky Lab
2019-10-10 21:39 C:\ProgramData\Kaspersky Lab Setup Files
2019-10-10 21:39 C:\ProgramData\McAfee
2016-12-14 12:09 C:\ProgramData\Norton
2019-10-10 21:38 C:\Users\Все пользователи\360safe
2019-10-10 21:39 C:\Users\Все пользователи\AVAST Software
2019-10-10 21:38 C:\Users\Все пользователи\Driver Foundation Visions VHG
2019-10-10 21:39 C:\Users\Все пользователи\ESET
2019-10-10 21:39 C:\Users\Все пользователи\grizzly
2019-10-10 21:39 C:\Users\Все пользователи\Kaspersky Lab
2019-10-10 21:39 C:\Users\Все пользователи\Kaspersky Lab Setup Files
2019-10-10 21:39 C:\Users\Все пользователи\McAfee
2016-12-14 12:09 C:\Users\Все пользователи\Norton
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Armyhor · 19.11.2019, 20:00 **[ТС]**

Сейчас все сделаю. Кстати опять появилась в том же месте папка RunDLL только она уже не скрытая, но пустая внутри. Я удалил ее обычным способом через shift+del. Так же восстанавливается после удаления AdwCleaner - ом расширение Chameleon после повторного запуска браузера. Пишет что какая-то программа на вашем компьютере установила расширение Chameleon. Антивирус AVG отлавливает периодически одни и те же вирусы temp8.exe temp9. exe и еще парочку которые постоянно отлавливаются снова после удаления тем же антивирусом.

@Armyhor · 19.11.2019, 21:34 **[ТС]**

Вот логи прикрепляю

@Sandor · 20.11.2019, 09:37

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Armyhor · 20.11.2019, 19:59 **[ТС]**

Прикрепляю

@Sandor · 21.11.2019, 14:17

Всё перечисленное следует в срочном порядке обновить/исправить. Иначе лечение теряет смысл (червь попадает через незакрытые уязвимости системы).

------------------------------- [ Windows ] -------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2016-11-26 11:43:29
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4525235 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба остановлена
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6 v.4.6.00081 Внимание! Скачать обновления
Microsoft .NET Framework 4.6 (русский) v.4.6.00081 Внимание! Скачать обновления
LibreOffice 6.0.1.1 v.6.0.1.1 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.11 (64-разрядная) v.4.11.0 Внимание! Скачать обновления
7-Zip 9.22 (x64 edition) v.9.22.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45395 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u231-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.270 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.19.021.20056 [+]
------------------------------- [ Browser ] -------------------------------
Google Chrome v.78.0.3904.97 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
TextEditor Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Surfing Protection v.1.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Norton PC Checkup v.2.0.15.96 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

@Armyhor · 21.11.2019, 21:07 **[ТС]**

Если я установлю все эти обновления на свою windows она больше не запустится. Уже такое было при включенном автообновлении.

@Sandor · 22.11.2019, 09:09

Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

@Armyhor 0 / 0 / 0 Регистрация: 10.11.2019 Сообщений: 40
		1
	Скрытая папка RunDLL с подозрительными файлами 10.11.2019, 19:04. Показов 18876. Ответов 32 Метки нет (Все метки) Здравствуйте, проблема вот в чем, в процессе игры вечером заметил сильное проседание кадров, что было ненормальным. После выхода на рабочий стол и открытия диспетчера задач, тот сам по себе закрывался через пару минут. После очередного открытия диспетчера задач обнаружил процесс rundll.exe, который завершил вручную. Далее прошелся по компьютеру антивирусами и утилитами dr.curelt и остальными, подчистил пк и проблема вроде как исчезла. Но в папке ProgramData есть скрытая папка RunDLL которую видят только dr.curelt и некоторые другие программы. Утилита нашла эти файлы и эту папку и удалила, но папка остается на своем месте. Как удалить эту папку и ее содержимое безвозвратно? Добавлено через 5 часов 30 минут В темах что есть на форуме ничего похожего не нашел 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	16.11.2019, 18:57	22
	Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Панель управления нажмите Сканировать. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	17.11.2019, 20:44	24
	Удалите старые и соберите новые FRST.txt и Addition.txt 0

@Armyhor 0 / 0 / 0 Регистрация: 10.11.2019 Сообщений: 40
	19.11.2019, 20:00 [ТС]	27
	Сейчас все сделаю. Кстати опять появилась в том же месте папка RunDLL только она уже не скрытая, но пустая внутри. Я удалил ее обычным способом через shift+del. Так же восстанавливается после удаления AdwCleaner - ом расширение Chameleon после повторного запуска браузера. Пишет что какая-то программа на вашем компьютере установила расширение Chameleon. Антивирус AVG отлавливает периодически одни и те же вирусы temp8.exe temp9. exe и еще парочку которые постоянно отлавливаются снова после удаления тем же антивирусом. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	20.11.2019, 09:37	29
	Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	21.11.2019, 14:17	31
	Всё перечисленное следует в срочном порядке обновить/исправить. Иначе лечение теряет смысл (червь попадает через незакрытые уязвимости системы). ------------------------------- [ Windows ] ------------------------------- Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Дата установки обновлений: 2016-11-26 11:43:29 ------------------------------- [ HotFix ] -------------------------------- HotFix KB3177467 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4474419 Внимание! Скачать обновления HotFix KB4490628 Внимание! Скачать обновления HotFix KB4512486 Внимание! Скачать обновления HotFix KB4525235 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба остановлена Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.6 v.4.6.00081 Внимание! Скачать обновления Microsoft .NET Framework 4.6 (русский) v.4.6.00081 Внимание! Скачать обновления LibreOffice 6.0.1.1 v.6.0.1.1 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- WinRAR 4.11 (64-разрядная) v.4.11.0 Внимание! Скачать обновления 7-Zip 9.22 (x64 edition) v.9.22.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую. --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45395 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. -------------------------------- [ Java ] --------------------------------- Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u231-windows-x64.exe)^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 PPAPI v.32.0.0.270 Внимание! Скачать обновления Adobe Acrobat Reader DC - Russian v.19.021.20056 [+] ------------------------------- [ Browser ] ------------------------------- Google Chrome v.78.0.3904.97 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ ----------------------------- [ EmailClient ] ----------------------------- Windows Live Mail v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком. Почта Windows Live v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком. ---------------------------- [ UnwantedApps ] ----------------------------- TextEditor Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Surfing Protection v.1.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Norton PC Checkup v.2.0.15.96 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. 0

@Armyhor 0 / 0 / 0 Регистрация: 10.11.2019 Сообщений: 40
	21.11.2019, 21:07 [ТС]	32
	Если я установлю все эти обновления на свою windows она больше не запустится. Уже такое было при включенном автообновлении. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	22.11.2019, 09:09	33
	Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами. 0