Размножились и не открываются ярлыки и папки на рабочем столе

@SankaF · Регистрация: 23.08.2010

Author24 — интернет-сервис помощи студентам

Здравствуйте!

Все началось с того, что в гугл хроме исчез звук. При этом в других браузерах, приложениях звук есть. Стандартная очистка истории браузера, всевозможные программы очистки, удаление/переустановка гугл хрома не помогла. Експлорер вообще пропал, никаких признаков жизни. Перезагрузка компа и другие нехитрые манипуляции не помогают, я уже боюсь что-то делать самостоятельно. Подозреваю, что на меня напали зловреды.
Загрузила яндекс - со звуком все ок. Прошло 2 недели. И началось: появились дубликаты папок и ярлыков на рабочем столе. Сначала не обратила внимания, т.к. их у меня не много.., удалила в корзину, очистила корзину.. а потом обратила внимание что некоторые папки открываются, а их дубликаты нет. Удаляются те, что открываются.
Прогнала проверку утилитой Dr.Web CureIt, он нашел что-то - одну штуковину удалил/вылечил (точно не могу сказать, я не помню - дело было в полусонном состоянии), и штук 10 закинул в карантин (где это я не знаю). Повторная проверка Dr.Web CureIt - угроз не обнаружено.

Запустила AutoLogger.. в ходе работы программы появилось сообщение: "сейчас откроется браузер Яндекс и Эксплорер - сверните в трей и не закрывайте до окончания..." . Яндекс открылся, эксплорер нет.

Архив с логами прилагаю к сообщению.
Пожалуйста, помогите мне!

@shestale · 07.02.2016, 11:08

Темы почему бросаете не долечившись?
+
Внимание! Рекомендации написаны специально для SankaF. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Windows Batch file

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('C:\Program Files\Common Files\AV\Spybot - Search and Destroy', '"*.exe, *.dll, *.sys, *.bat, *.vbs, *.js", *.com', true, '', 0 ,0);
 QuarantineFile('C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe', '');
 DeleteFile('C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe', '32');
 DeleteFileMask('C:\Program Files\Common Files\AV\Spybot - Search and Destroy', '*', true);
 DeleteDirectory('C:\Program Files\Common Files\AV\Spybot - Search and Destroy');
 RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','SpybotPostWindows10UpgradeReInstall');
 RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','SpybotPostWindows10UpgradeReInstall');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:
Windows Batch file
1 2 3
begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы, расположенной вверху темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Windows Batch file

O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: (no name) - {0BD25BF8-5F03-4A50-973A-F536808D51DA} - (no file) (HKCU)
O9 - Extra button: 32Red Poker Room - {1EC5946C-9B85-4CFA-8823-1AA47A45F820} - (no file) (HKCU)
O9 - Extra button: (no name) - {24F8CBFC-EC55-4847-8B98-9FE50DDDB4C0} - (no file) (HKCU)
O9 - Extra button: Olybet - {6F83FE44-9808-4B40-B4CA-1B679EBFDCD1} - (no file) (HKCU)
O9 - Extra button: (no name) - {858E4261-BDEF-4E26-9724-BA459B0651AF} - (no file) (HKCU)
O9 - Extra button: Triobet - {8C63C8BA-CFA8-4DE4-84BC-46F18198CF91} - (no file) (HKCU)
O9 - Extra button: Triobet - {95860E15-7ACF-4C3B-81E2-43285C2CDC4F} - (no file) (HKCU)
O9 - Extra button: Olybet - {B4431E6F-64BC-4F98-B767-F18EBF783357} - (no file) (HKCU)
O9 - Extra button: Players Only - {c1bb3821-d7bc-4d12-90cc-eca4c2a3be99} - (no file) (HKCU)
O9 - Extra button: (no name) - {CA9806AF-8A6C-4A28-8108-B546ED4FC738} - (no file) (HKCU)
O9 - Extra button: (no name) - {D3CACED0-25E0-4703-BA27-3CB35EC97F37} - (no file) (HKCU)
O9 - Extra button: 32Red Poker Room - {DAF66E8B-6C10-4024-A73A-E332C2A352D9} - (no file) (HKCU)
O9 - Extra button: BetSafe Poker Black - {DD974582-4542-4FE8-BEB3-7290BC0A6773} - (no file) (HKCU)

Подготовьте лог AdwCleaner.

@SankaF · 07.02.2016, 17:19 **[ТС]**

спасибо, сделано:

@shestale · 07.02.2016, 17:23

SankaF, это для кого выше написано, красным жирным шрифтом...

Сообщение от shestale

Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Отправьте карантин, как написано в рекомендациях.
+
Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@SankaF · 07.02.2016, 17:42 **[ТС]**

1) карантин отправлен на почту (извините, недосмотрела)
2) в AdwCleaner все удалено
3) логи FRST прикрепляю

@shestale · 07.02.2016, 17:44

Карантин пришел.

Сообщение от SankaF

в AdwCleaner все удалено

А лог где?

Сообщение от SankaF

логи FRST прикрепляю

Не влезли вероятно. Запакуйте архиватором.

@SankaF · 07.02.2016, 17:44 **[ТС]**

не могу прикрепить текстовые файлы логов

@SankaF · 07.02.2016, 17:45 **[ТС]**

архив

@SankaF · 07.02.2016, 17:50 **[ТС]**

потеряла лог AdwCleaner... одна строка была прописана - в логе, который прикрепляю эта строка - C:\Users\viktor\AppData\Local\Chromium\User Data\Default\Local Storage\chrome-extension_nkcpopggjcjkiicpenikeogioednjeac_0.localstorage

@shestale · 07.02.2016, 17:52

Сообщение от shestale

Удалите в AdwCleaner все найденные объекты

Этот лог покажите - C:\AdwCleaner\AdwCleaner[C1].txt
+
Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:5CB1E0D3
AlternateDataStreams: C:\Users\viktor\Local Settings:wa
AlternateDataStreams: C:\Users\viktor\AppData\Local:wa
AlternateDataStreams: C:\Users\viktor\AppData\Local\Application Data:wa
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A
AlternateDataStreams: C:\Users\Все пользователи\TEMP:5CB1E0D3
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKU\S-1-5-21-4289573268-1964871093-1163191555-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

+
Удалите все незнакомые расширения\дополнения в браузерах.
+
Почистите кэш и куки в браузерах.

Проблема решена?

@SankaF · 07.02.2016, 17:52 **[ТС]**

блондонкО. нашла

@shestale · 07.02.2016, 17:54

Ок, делайте все остальное.

@SankaF · 07.02.2016, 18:02 **[ТС]**

shestale я не поняла куда " сохраните как fixlist.txt в папке с программой Farbar Recovery Scan Tool (рядом с файлом frst.exe)" - в папке Farbar Recovery Scan Tool я не вижу файл frst.exe - запихнула просто в папку fixlist.txt, нажала Fix.. получила см скриншот

@shestale · 07.02.2016, 18:05

Вот же написано:

Сообщение от shestale

сохраните как fixlist.txt в папке с программой Farbar Recovery Scan Tool (рядом с файлом frst.exe)

frst.exe - вы его скачали и куда положили? Вот рядом с ним и положите fixlist.txt

@SankaF · 07.02.2016, 18:09 **[ТС]**

это нужно мозг иметь )), а он отсутствует. сделала, спасибо

@shestale · 07.02.2016, 18:11

Сообщение от shestale

Почистите кэш и куки в браузерах.
Проблема решена?

???

@SankaF · 07.02.2016, 18:17 **[ТС]**

екплорер - нет ярлыка, открыть не могу. в хроме и яндексе сделано.
звука в хроме нет, в яндексе есть. проблемные ярлыки по прежнему живут на рабочем столе. единственное изменение в лучшую сторону, которое я заметила.. до лечения значок интернета (экранчик был перечеркнут красным крестом, как будто интернет отключен, сейчас этот значок нормальный

@shestale · 07.02.2016, 18:26

Сообщение от SankaF

екплорер - нет ярлыка, открыть не могу

Так создайте новый.
+

Сообщение от SankaF

проблемные ярлыки по прежнему живут на рабочем столе

Удалите их.
+
Еще так проверим: Подготовьте лог MBAM.
Сканироваться может несколько часов, все зависит от размера ж\д.
Выложите когда будет готов

Сообщение от shestale

найдите отчет сканирования в следующей папке:
%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-03-26 (07-32-51).txt

@SankaF · 07.02.2016, 19:47 **[ТС]**

MBAM обновила, запустила. По поводу ярлыков, он как бы "впечатаны" в картинку рабочего стола- см, сделала видео
https://youtu.be/cS5R0TpvBFQ

Добавлено через 33 минуты
загрузка explorer в новые задачи диспетчера задач и перезагрузка компа проблему с ярлыками решила. MBAM полная проверка ничего не нашел, все чистенько. Гугл хром по-прежнему беззвучный

@shestale · 07.02.2016, 19:52

Сообщение от SankaF

MBAM полная проверка ничего не нашел

Лог покажите.

Сообщение от SankaF

Гугл хром по-прежнему беззвучный

Попробуйте сбросить настройки хрома

@SankaF 218 / 2 / 1 Регистрация: 23.08.2010 Сообщений: 108
	07.02.2016, 18:02 [ТС]	13
	shestale я не поняла куда " сохраните как fixlist.txt в папке с программой Farbar Recovery Scan Tool (рядом с файлом frst.exe)" - в папке Farbar Recovery Scan Tool я не вижу файл frst.exe - запихнула просто в папку fixlist.txt, нажала Fix.. получила см скриншот Миниатюры 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	07.02.2016, 17:23	4
	SankaF, это для кого выше написано, красным жирным шрифтом... Сообщение от shestale Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!! Отправьте карантин, как написано в рекомендациях. + Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 1

@SankaF 218 / 2 / 1 Регистрация: 23.08.2010 Сообщений: 108
	07.02.2016, 17:42 [ТС]	5
	1) карантин отправлен на почту (извините, недосмотрела) 2) в AdwCleaner все удалено 3) логи FRST прикрепляю 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	07.02.2016, 17:44	6
	Карантин пришел. Сообщение от SankaF в AdwCleaner все удалено А лог где? Сообщение от SankaF логи FRST прикрепляю Не влезли вероятно. Запакуйте архиватором. 1

@SankaF 218 / 2 / 1 Регистрация: 23.08.2010 Сообщений: 108
	07.02.2016, 17:44 [ТС]	7
	не могу прикрепить текстовые файлы логов 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	07.02.2016, 17:54	12
	Ок, делайте все остальное. 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	07.02.2016, 18:05	14
	Сообщение было отмечено SankaF как решение Решение Вот же написано: Сообщение от shestale сохраните как fixlist.txt в папке с программой Farbar Recovery Scan Tool (рядом с файлом frst.exe) frst.exe - вы его скачали и куда положили? Вот рядом с ним и положите fixlist.txt 1

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	07.02.2016, 18:11	16
	Сообщение от shestale Почистите кэш и куки в браузерах. Проблема решена? ??? 1

@SankaF 218 / 2 / 1 Регистрация: 23.08.2010 Сообщений: 108
	07.02.2016, 18:17 [ТС]	17
	екплорер - нет ярлыка, открыть не могу. в хроме и яндексе сделано. звука в хроме нет, в яндексе есть. проблемные ярлыки по прежнему живут на рабочем столе. единственное изменение в лучшую сторону, которое я заметила.. до лечения значок интернета (экранчик был перечеркнут красным крестом, как будто интернет отключен, сейчас этот значок нормальный 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	07.02.2016, 18:26	18
	Сообщение от SankaF екплорер - нет ярлыка, открыть не могу Так создайте новый. + Сообщение от SankaF проблемные ярлыки по прежнему живут на рабочем столе Удалите их. + Еще так проверим: Подготовьте лог MBAM. Сканироваться может несколько часов, все зависит от размера ж\д. Выложите когда будет готов Сообщение от shestale найдите отчет сканирования в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2014-03-26 (07-32-51).txt 1

@SankaF 218 / 2 / 1 Регистрация: 23.08.2010 Сообщений: 108
	07.02.2016, 19:47 [ТС]	19
	MBAM обновила, запустила. По поводу ярлыков, он как бы "впечатаны" в картинку рабочего стола- см, сделала видео https://youtu.be/cS5R0TpvBFQ Добавлено через 33 минуты загрузка explorer в новые задачи диспетчера задач и перезагрузка компа проблему с ярлыками решила. MBAM полная проверка ничего не нашел, все чистенько. Гугл хром по-прежнему беззвучный 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	07.02.2016, 19:52	20
	Сообщение от SankaF MBAM полная проверка ничего не нашел Лог покажите. Сообщение от SankaF Гугл хром по-прежнему беззвучный Попробуйте сбросить настройки хрома 0

Размножились и не открываются ярлыки и папки на рабочем столе

Решение