В папке windows непонятные папки

0 / 0 / 0

Регистрация: 11.02.2016

Сообщений: 26

28.09.2018, 14:25. Показов 14121. Ответов 13

Добрый день. Пару раз перекинуло ни с того ни с сего на какие то рекламные сайты, потом зашёл в C:\Program Files (x86) и увидел кучу непонятных папок. Потом появилась панель гугл поиска в нижней панели и какая то программа WhiteClick в списке программ. Так же, вроде как, компьютер стал загружаться дольше. Помогите пожалуйста, что это может быть?

Попытался сделать сбор логов, AutoLogger несколько раз капитально зависал, один раз завис весь комп. Получилось сделать только после того как сетевой шнур из компьютера выткнул.

20529 / 15174 / 2913

Регистрация: 08.10.2012

Сообщений: 61,598

28.09.2018, 15:04

Сообщение было отмечено 10bez0 как решение

Решение

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя 10bez0. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления — Удаление программ — удалите нежелательное ПО:

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл — Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\appzclleqie\tqlhfpjrah.exe');
 QuarantineFile('c:\program files (x86)\appzclleqie\tqlhfpjrah.exe', '');
 QuarantineFile('C:\Program Files (x86)\UoZoIgkuCKdU2\zPZRcFJSolXbZ.dll','');
 QuarantineFile('C:\Program Files (x86)\BvbhSZLyqCrsC\YlpLQPF.dll','');
 QuarantineFile('C:\ProgramData\WjIOjGvJCfODeXVB\hGTzKJj.wsf','');
 QuarantineFile('C:\Program Files (x86)\KTxhztjwU\PRFSlb.dll','');
 QuarantineFile('C:\Program Files (x86)\yCQMrlJAErjPGpRjulR\rcFxOSB.dll','');
 DeleteFile('C:\Program Files (x86)\yCQMrlJAErjPGpRjulR\rcFxOSB.dll','64');
 DeleteFile('C:\Program Files (x86)\KTxhztjwU\PRFSlb.dll','64');
 DeleteFile('C:\ProgramData\WjIOjGvJCfODeXVB\hGTzKJj.wsf','64');
 DeleteFile('C:\Program Files (x86)\BvbhSZLyqCrsC\YlpLQPF.dll','64');
 DeleteFile('C:\Program Files (x86)\UoZoIgkuCKdU2\zPZRcFJSolXbZ.dll','64');
 DeleteFile('c:\program files (x86)\appzclleqie\tqlhfpjrah.exe', '32');
 DeleteSchedulerTask('DhLAWZsHfQsZBWkdQ2');
 DeleteSchedulerTask('GoogleUpdateService');
 DeleteSchedulerTask('hYPwlYRCmhawMCp2');
 DeleteSchedulerTask('pQVZvbQbakOUK2');
 DeleteSchedulerTask('qAYfjnTMJZeKjBNGsRT2');
 DeleteSchedulerTask('vsqrvYZkOOVdGo');
 DeleteSchedulerTask('{3BAC6C1E-45F6-B187-2C6E-8A35436472E5}');
 DeleteSchedulerTask('{D8B81EC6-4B19-19B3-00FB-B239873FCD1D}');
 DelBHO('{D401A51B-6BF6-4F86-8D38-CE451BF05A1D}');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

0 / 0 / 0

Регистрация: 11.02.2016

Сообщений: 26

01.10.2018, 08:12

[ТС]

Добрый день.
1. Скрипт выполнил, компьютер перезагрузился;
2. Файл quarantine.7z отправил с помощью формы отправки карантина;
3. Подготовил новый CollectionLog.

20529 / 15174 / 2913

Регистрация: 08.10.2012

Сообщений: 61,598

01.10.2018, 08:33

1. Пофиксите в HijackThis следующие строчки:

Код

O4 - HKCU\..\Run: [YoutubeDownloader] = C:\Users\SC6624\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3
O4 - HKCU\..\Run: [YoutubeDownloader_upd] = C:\Users\SC6624\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3
O22 - Task: YoutubeDownloader - C:\Users\SC6624\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3
O22 - Task: YoutubeDownloader_upd - C:\Users\SC6624\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3

2. Подготовьте и прикрепите лог сканирования AdwCleaner.

0 / 0 / 0

Регистрация: 11.02.2016

Сообщений: 26

01.10.2018, 08:52

[ТС]

Сделал.

20529 / 15174 / 2913

Регистрация: 08.10.2012

Сообщений: 61,598

01.10.2018, 09:03

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x — любая цифра).
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

0 / 0 / 0

Регистрация: 11.02.2016

Сообщений: 26

01.10.2018, 09:28

[ТС]

Сделал.

20529 / 15174 / 2913

Регистрация: 08.10.2012

Сообщений: 61,598

01.10.2018, 09:38

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2018-09-28 11:56 - 2018-09-28 14:03 - 000000000 ____D C:\Users\SC6624\AppData\Roaming\YoutubeDownloader_upd
2018-09-28 11:56 - 2018-09-28 14:03 - 000000000 ____D C:\Users\SC6624\AppData\Roaming\YoutubeDownloader
AlternateDataStreams: C:\Windows\system32\Drivers\jyrssafv.sys:changelist [598]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой — Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

0 / 0 / 0

Регистрация: 11.02.2016

Сообщений: 26

01.10.2018, 09:44

[ТС]

Сделал.

20529 / 15174 / 2913

Регистрация: 08.10.2012

Сообщений: 61,598

01.10.2018, 09:49

Что сейчас с проблемой?

0 / 0 / 0

Регистрация: 11.02.2016

Сообщений: 26

01.10.2018, 09:54

[ТС]

Все папки пропали, запуск рекламы прекратился. Осталась только какая то непонятная папка в C:\Program Files (x86) — «vdjaydszxgj» и в ней один файл «G5MI5.exe.config». В остальном вроде никаких признаков и симптомов чего то нехорошего. На этом всё?

20529 / 15174 / 2913

Регистрация: 08.10.2012

Сообщений: 61,598

01.10.2018, 09:57

Сообщение от 10bez0

Осталась только какая то непонятная папка

Удалите ее вручную.

Завершаем:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки — Удалить AdwCleaner — выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

0 / 0 / 0

Регистрация: 11.02.2016

Сообщений: 26

01.10.2018, 10:24

[ТС]

Большое спасибо за помощь!
Файл SecurityCheck.txt прикрепил.

20529 / 15174 / 2913

Регистрация: 08.10.2012

Сообщений: 61,598

01.10.2018, 10:26

————————— [ OtherUtilities ] —————————-
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
Classic Shell v.4.3.1 Данная программа больше не поддерживается разработчиком.
————————— [ AdobeProduction ] —————————
Adobe Reader XI — Russian v.11.0.00 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Рекомендации после удаления вредоносного ПО

IT_Exp Эксперт 87844 / 49110 / 22898 Регистрация: 17.06.2006 Сообщений: 92,604	01.10.2018, 10:26
14

Источник

Причины появления непонятных папок на диске С и как их можно удалить

Добро пожаловать в мир непонятных папок! Многие пользователи возможно уже столкнулись с проблемой, когда на диске С вдруг появляются папки с странными названиями, которые нельзя удалить обычными способами.

Причины появления непонятных папок

Есть несколько причин, по которым могут появиться непонятные папки на диске С:

Вирусы и вредоносное ПО. Одна из самых распространенных причин — заражение компьютера. Вирусы могут создавать папки с непонятными названиями, чтобы скрыть от пользователя свои действия или для выполнения других задач.
Программы-утилиты. Некоторые программы-утилиты, такие как архиваторы или дисковые утилиты, могут создавать временные папки на диске С. Иногда эти папки могут быть неудобными для удаления и могут оставаться после закрытия программы.
Ошибки сборки системы. Иногда при установке или обновлении операционной системы или драйверов могут произойти ошибки, в результате которых появятся непонятные папки на диске С.

Как удалить непонятные папки

Удаление непонятных папок может быть непростой задачей, особенно если они созданы вредоносным ПО или ошибками сборки системы. Но есть несколько способов, которые можно использовать:

Использование антивирусной программы — если вы подозреваете, что папки были созданы в результате заражения вирусами, попробуйте запустить антивирусную программу и выполнить полное сканирование системы.
Удаление через командную строку — если удаление папок через обычный интерфейс Windows невозможно, попробуйте использовать командную строку. Для этого откройте командную строку от имени администратора и введите команду rd /s /q "путь к папке", где путь к папке — путь к непонятной папке на диске С.
Использование специализированных программ — есть несколько программ, которые могут помочь вам удалить непонятные папки на диске С. Например, CCleaner или Unlocker.

Заключение

Появление непонятных папок на диске С может быть раздражающим, но необязательно это связано с серьезной проблемой. Попробуйте использовать рекомендованные выше методы для удаления этих папок и не забудьте выполнить регулярную проверку компьютера на наличие вирусов и вредоносного ПО.

Источник

#1

APogaevsky

Newbie

Posters
3 Сообщений:

Отправлено 11 Март 2023 — 20:46

Добрый день!

Недавно, включив отображение скрытых файлов, заметил появившиеся каталоги со странными названиями:

«#процессом ydbcke доступа»,

«`ydbckedosmuxsemwait»,

«~дискуydbcke»

«~папкуydbcke»

«2ydbckeочистка»

«aydbcke неверен»

«zидентификаторы ydbcke отображенного»

— Каждый каталог содержит несколько файлов разных типов (JPG, GIF, TXT, ICO, XLSX, RTF) с кириллическими именами,

причем в каждом каталоге среди разных файлов обязательно есть файл Attention!.gif, который содержит надпись:

«This directory contains bait/decoy files that acts as a trap,for early ransomware detection.

In case of any clarifications required, please feel free to reach out to support@k7computing.com»

— Каталоги создаются в корне каждого раздела (2 на разделе D и 3 на разделе С) и два каталога в C:\Users\.

— Каталоги в C:\Users\ иногда не получается удалить. После удаления, каталоги через некоторое время появляются

на том же месте и том же количестве с другими, но аналогичными именами (фраза на кириллице+ydbcke…),

имена и содержание файлов меняется.

Для каждого каталога установлен атрибут «hidden».

Что удалось выяснить:

— По завершению работы каталоги пропадают (если подключить (по USB) жесткий диск к другому компьютеру, указанных каталогов на нем нет.

Сканирование системы штатным (PRO32) и свежескачанными утилитами cureit (dr.web) и KVRT (Касперского) результата не дало,

так же не дало результата сканирование жесткого диска, подключенного через USB, на другом компьютере.

Прилагаю архивный файл с созданными каталогами.

Очень прошу специалистов помочь мне с этой проблемой…

Спасибо!

P.S.

Я не смог ознакомиться с условиями, на которые была ссылка в начале раздела, т.к., перейдя по ссылке, я получил сообщение о неудаче найти запрошенную страницу, и запрещение просматривать тему…

Прошу меня извинить если, что оказалось не так…

Наверх

#2

Dr.Robot

Dr.Robot

Poster

Helpers
3 023 Сообщений:

Отправлено 11 Март 2023 — 20:46

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

Наверх

#3

Dmitry_rus

Dmitry_rus

Guru

Helpers
3 528 Сообщений:

Отправлено 11 Март 2023 — 21:30

Наверх

#4

APogaevsky

APogaevsky

Newbie

Posters
3 Сообщений:

Отправлено 11 Март 2023 — 22:53

Прошу меня извинить, я подготовил необходимые логи, но каждый раз при попытке присоединить их, я получал сообщение в красном прямоугольнике, что файл слишком велик, хотя оба файла были в не более 200 мб (70мб и 59 мб).

Я решил выложить их на «Яндекс диск», а ссылку выслать. Вот она:

https://yadi.sk/d/l9pvNqb9zou_aQ

Там же я приложил архив с создаваемыми папками (может быть это в чем-то поможет)

Если этот способ передачи файлов не годится, напишите, как еще я могу их выслать?

Спасибо.

Наверх

#5

Dmitry_rus

Dmitry_rus

Guru

Helpers
3 528 Сообщений:

Отправлено 12 Март 2023 — 00:32

Очевидно, это специально создаваемые антивирусом K7 (есть у вас такой?) файлы/папки для обнаружения действий шифровальщиков.

Разработчики этого антивируса предполагают, что если вдруг на ваш ПК проникнет шифровальщик и начнет модификацию файлов, то антивирус сможет отследить эту активность по модификации этих специально подготовленных файлов/папок.

Метод — так себе, если честно… )

Наверх

#6

APogaevsky

APogaevsky

Newbie

Posters
3 Сообщений:

Отправлено 12 Март 2023 — 15:30

Очевидно, это специально создаваемые антивирусом K7 (есть у вас такой?) файлы/папки для обнаружения действий шифровальщиков.

Разработчики этого антивируса предполагают, что если вдруг на ваш ПК проникнет шифровальщик и начнет модификацию файлов, то антивирус сможет отследить эту активность по модификации этих специально подготовленных файлов/папок.

Метод — так себе, если честно… )

Добрый день! Смеялся до слез…

Да, в сиcтеме стоит антивирус PRO32 (он же K7). Я уже собирался лечить четыре компьютера…кошмар!

Даже не знаю, что и сказать.

Прошу меня извинить за беспокойство и ВЕЛИКОЕ Вам СПАСИБО!!!!

Все, перехожу на dr.web.

Удач!

С УВАЖЕНИЕМ, Алексей.

Наверх

Источник

Можно начать с простых действий.
1. Поискать в логах Windows события около моментов создания папок.
2. Выполнить проверку файловой системы (проверку диска) штатными средствами.
3. В панели управления посмотреть, какие программы были установлены недавно; нет ли там чего-то непонятного китайского происхождения (например, китайский антивирусник, «чистильщик диска», «чистильщик реестра», «оптимизатор» и т.п.) — могло быть установлено вместе с другим ПО.

Папки могут быть далеко не пустыми, там могут быть скрытые файлы.

Первый признак зараженного ПК вирусом, это как раз та самая непонятная активность и «странные вещи» типа созданных папок и тд. Просканируйте компьютер несколькими антивирями, и если не поможет, то лучше переустановить ОСь.

Источник

Решение

Причины появления непонятных папок на диске С и как их можно удалить

Причины появления непонятных папок

Как удалить непонятные папки

Заключение

#1 <img decoding="async" src="https://forum.drweb.com/public/style_images/master_3_/icon_share.png" title="Появление скрытых папокСсылка на сообщение #1" />

#2 <img decoding="async" src="https://forum.drweb.com/public/style_images/master_3_/icon_share.png" title="Появление скрытых папокСсылка на сообщение #2" /> Dr.Robot

#5 <img decoding="async" src="https://forum.drweb.com/public/style_images/master_3_/icon_share.png" title="Появление скрытых папокСсылка на сообщение #5" /> Dmitry_rus

#6 <img decoding="async" src="https://forum.drweb.com/public/style_images/master_3_/icon_share.png" title="Появление скрытых папокСсылка на сообщение #6" /> APogaevsky

#1

#2

Dr.Robot

#5

Dmitry_rus

#6

APogaevsky