Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
1

Скрытая папка RunDLL с подозрительными файлами

10.11.2019, 19:04. Просмотров 382. Ответов 17
Метки нет (Все метки)

Здравствуйте, проблема вот в чем, в процессе игры вечером заметил сильное проседание кадров, что было ненормальным. После выхода на рабочий стол и открытия диспетчера задач, тот сам по себе закрывался через пару минут. После очередного открытия диспетчера задач обнаружил процесс rundll.exe, который завершил вручную. Далее прошелся по компьютеру антивирусами и утилитами dr.curelt и остальными, подчистил пк и проблема вроде как исчезла. Но в папке ProgramData есть скрытая папка RunDLL которую видят только dr.curelt и некоторые другие программы. Утилита нашла эти файлы и эту папку и удалила, но папка остается на своем месте. Как удалить эту папку и ее содержимое безвозвратно?

Добавлено через 5 часов 30 минут
В темах что есть на форуме ничего похожего не нашел
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
10.11.2019, 19:04
Ответы с готовыми решениями:

Архив Fust.zip, скрытая папка SheIINem
Добрый день. В общую папку запустили вирусы, появились файлы с расширением vbs, архив Fust.zip,...

На Локальном диске (C:) появилась скрытая папка с именем $AV_ASW
На Локальном диске C появилась скрытая папка с именем $AV_ASW, в которой находится папка $VAULT, а...

Скрытая папка
Здравствуйте, возникла проблема с скрытой папкой, когда-то давно создал папку ymir work в...

17

Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
11.11.2019, 10:28 2
Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
0
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 16:30  [ТС] 3
Здравствуйте, логи прилагаю
0
Вложения
Тип файла: zip CollectionLog-2019.11.11-15.27.zip (69.3 Кб, 1 просмотров)
Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
11.11.2019, 16:38 4
Внимание! Рекомендации написаны специально для пользователя Armyhor. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Advanced SystemCare 11
HitmanPro 3.8
Search App by Ask
Unity Web Player
Установлены WinRAR 4.11 (64-разрядная) и WinZip 16.5. Оставьте один (предпочтительнее первый, только обновите до актуальной версии).


Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
     DeleteFile('C:\Users\Артем\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk');
     DeleteFile('C:\Users\Артем\Favorites\Mail.Ru.url');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     ExecuteRepair(1);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.


  2. Ярлыки
    C:\Users\Артем\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk
    C:\Users\Артем\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
    C:\Users\Артем\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk
    C:\Users\Артем\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    C:\Users\Артем\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
    C:\Users\Артем\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    исправьте с помощью утилиты ClearLNK.
    Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

  3. Подготовьте новый CollectionLog.

  4. Подготовьте и прикрепите лог сканирования AdwCleaner.
0
11.11.2019, 16:38
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 16:49  [ТС] 5
сейчас все выполню только удалять Unity Web Player и Advanced SystemCare 11 не буду, ибо они мне нужны.
0
Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
11.11.2019, 16:52 6
Удалите хотя бы на время лечения. Если понадобятся, установите по окончании.
0
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 17:37  [ТС] 7
Логи прикрепляю, только adwcleaner не запускается, а лишь появляется процесс в диспетчере задач и все. Пробовал с разных ссылок и разные версии.
0
Вложения
Тип файла: zip CollectionLog-2019.11.11-16.24.zip (69.3 Кб, 1 просмотров)
Тип файла: log ClearLNK-2019.11.11_16.21.05.log (3.7 Кб, 1 просмотров)
Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
11.11.2019, 17:44 8
Цитата Сообщение от Armyhor Посмотреть сообщение
Пробовал с разных ссылок и разные версии
Это ещё зачем? Я дал правильную ссылку на актуальную версию и никакие "другие" использовать не нужно.
Антивирус при запуске AdwCleaner отключаете?

Впрочем, раз вы не хотите удалять указанные программы, то и нет смысла продолжать.
0
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 17:59  [ТС] 9
Антивирус отключен, но adwcleaner не запускается.

Добавлено через 7 минут
Запускаю от администратора AdwCleaner и ничего не происходит, только висит процесс AdwCleaner 32.exe Помогите пожалуйста
0
Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
11.11.2019, 18:02 10
Цитата Сообщение от Armyhor Посмотреть сообщение
только удалять Unity Web Player и Advanced SystemCare 11 не буду, ибо они мне нужны
Цитата Сообщение от Sandor Посмотреть сообщение
Удалите хотя бы на время лечения. Если понадобятся, установите по окончании.
Что вы решили? Пока вижу, что по-прежнему установлены.
0
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 18:02  [ТС] 11
Сейчас удалю, логи опять приложить?
0
Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
11.11.2019, 18:04 12
Да, и пробуйте ещё раз запустить AdwCleaner после удаления программ.
0
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 18:09  [ТС] 13
Удалил, заново прикрепить логи всех программ?

Добавлено через 2 минуты
Не запускается все равно.

Добавлено через 1 минуту
Все так же не запускается(
0
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 18:17  [ТС] 14
Вот логи
0
Вложения
Тип файла: zip CollectionLog-2019.11.11-17.16.zip (67.8 Кб, 1 просмотров)
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
11.11.2019, 20:45  [ТС] 15
Есть решение этой проблемы? Вирус никак себя не проявляет единственное что нужно до конца уничтожить эту папку и файлы.
0
Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
12.11.2019, 09:44 16
Пофиксите в HijackThis следующие строчки:
Код
O2 - HKLM\..\BHO: ExplorerWnd Helper - {10921475-03CE-4E04-90CE-E2E7EF20C814} - (no file)
O2-32 - HKLM\..\BHO: MRSearchPlugin - {8E8F97CD-60B5-456F-A201-73065652D099} - (no file)
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
Armyhor
0 / 0 / 0
Регистрация: 10.11.2019
Сообщений: 10
13.11.2019, 20:17  [ТС] 17
Прикрепляю отчеты
0
Вложения
Тип файла: rar Отчеты Farbar Recovery.rar (24.9 Кб, 1 просмотров)
Sandor
Вирусоборец
14360 / 12047 / 1976
Регистрация: 08.10.2012
Сообщений: 48,889
Вчера, 09:43 18
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\...\MountPoints2: {1ac44ddf-3ce2-11e5-8e28-08606e7c63fe} - F:\Setup.exe
    HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\...\MountPoints2: {9b4766bf-014f-11e5-9fec-08606e7c63fe} - F:\AutoRun.exe
    HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\...\MountPoints2: {9b4766cd-014f-11e5-9fec-08606e7c63fe} - F:\AutoRun.exe
    HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\...\MountPoints2: {9b47675a-014f-11e5-9fec-08606e7c63fe} - F:\AutoRun.exe
    HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\...\MountPoints2: {fe4635ed-431b-11e5-a36b-08606e7c63fe} - G:\Setup.bat
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    SearchScopes: HKU\S-1-5-21-1914715930-2996376115-1881638870-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__171216__yaie&p={searchTerms}
    Toolbar: HKU\S-1-5-21-1914715930-2996376115-1881638870-1000 -> No Name - {5350432D-4332-2D35-00A7-7A786E7484D7} -  No File
    FF NewTab: Mozilla\Firefox\Profiles\j2f8uwfp.default -> hxxps://search.yahoo.com/yhs/web?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__hp_WCYID10438__171216__yaff
    CHR HomePage: Default -> search.ask.com/?gct=hp
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=802811","hxxps://www.google.com.ua/webhp?tab=ww&ei=d1VcVuPGJuG6ygOfpLbgBA&ved=0EKkuCAEoAQ"
    CHR HKLM\...\Chrome\Extension: [aaaaapdcjfaomkafnbpoclmfakjianjd]
    CHR HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
    CHR HKLM-x32\...\Chrome\Extension: [aaaaapdcjfaomkafnbpoclmfakjianjd]
    CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb]
    CHR HKLM-x32\...\Chrome\Extension: [bpgangmffjcofiknibcmfjionicohfgj]
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof]
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
    CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm]
    CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn]
    CHR HKLM-x32\...\Chrome\Extension: [nbifdkmdojgmpmopdebnjcobekgdoncn]
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj]
    CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd]
    ContextMenuHandlers1: [IObitUnstaler] -> {B19ED566-D419-470b-B111-3C89040BC027} =>  -> No File
    AlternateDataStreams: C:\Users\Артем\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\Артем\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    HKU\S-1-5-21-1914715930-2996376115-1881638870-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
Вчера, 09:43
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
Вчера, 09:43

Combobox и папка с файлами
Добрый вечер,есть такой вопрос. 1.У меня есть форма с combobox и listbox. 2.Есть папка Files с...

windows 7 не удаляется папка с файлами
Казалось бы элементарно Ватсон, а не тут то было! Ситуэйтион: Будучи в линуксе через оперу...

Папка с файлами Microsoft Security Essentials на не системном диске
Добрый день! Есть вопрос к знающим досконально Microsoft Security Essentials. После переустановки...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.