[решено] Из корзины не удаляется папка Dd1488

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Из корзины не удаляется папка Dd1488 (http://forum.oszone.net/showthread.php?t=208878)

Из корзины не удаляется папка Dd1488

Здравствуйте!

Вот только два дня назад переустановили Windows, но опять возникла проблема.
Из корзины не удаляется папка Dd1488 (периодически меняется название, сначала Dd1481, Dd1482, Dd1483...) (см. скрин)

Из всяческих советов по этой проблеме я cделала следующее:
1. Запустила chkdsk /f /r, перед запуском прошла проверка, но проблема не решилась
2. Попробовала через Norton Commander и Far открыть Корзину (Recycler). При нажатии в Нортоне на удаление он просто молчал. А вот в Far выдало ошибку удаления (прилагаю скрин)

Хотелось бы исключить возможность вируса, поэтому прилагаю логи для проверки.
Проверила Dr.Web CureIt!, ничего не найдено.

Если дело не в вирусе, то, пожалуйста,скажите куда мне обратиться.

Отлючите защитное ПО (Антивирус/Файерволл)!

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

SearchRootkit(true, true);

SetAVZGuardStatus(true);

 QuarantineFile('C:\Documents and Settings\Admin.MICROSOF-F3ED49\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk','');

 QuarantineFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\3Pi4B1s4.sys','');

 QuarantineFile('c:\windows.0\system32\ctfmon.exe','');

 QuarantineFile('c:\windows.0\explorer.exe','');

 DeleteFile('C:\DOCUME~1\ADMIN~1.MIC\LOCALS~1\Temp\3Pi4B1s4.sys');

 DeleteFile('C:\Documents and Settings\Admin.MICROSOF-F3ED49\Application Data\Microsoft\Internet Explorer\Quick Launch\eBay.lnk');

 DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);

 DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);

 DeleteFileMask('C:\RECYCLER\', '*.*', true);

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

После выполнения скрипта компьютер перезагрузится!

• После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip из папки AVZ через эту форму.

Сделайте новые логи AVZ

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Выполнила скрипты, карантин отправила.
Сделала новые логи AVZ, и после них сканировала MBAM.
В MBAM ничего не удалила... жду распоряжений.

P.S. Проблемной папки в корзине больше не наблюдаю

В логах чисто.

Проверьте на VirusTotal

Код:

c:\program files\common files\safesurf.exe

Цитата:

Цитата zirreX

Проверьте на VirusTotal
c:\program files\common files\safesurf.exe »

Вот результат проверки:
http://www.virustotal.com/file-scan/...b4e-1308002664
Удалить его?

А что на счет MBAM? Можно все удалить, что он нашел?

SafeSurf устанавливали?

Цитата:

Цитата alissa_12

А что на счет MBAM? Можно все удалить, что он нашел? »

Не всё, только нижеперечисленное:

Код:

Зараженные ключи в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\JetSwap (Adware.JetSwap) -> No action taken.



Зараженные файлы:

c:\program files\common files\safesurf.exe (Trojan.Downloader) -> No action taken.

Проблема решена?

Цитата:

Цитата zirreX

SafeSurf устанавливали? »

Нет, не устанавливала. Название не знакомое, не знаю что это за файл

В MBAM удалила перечисленное. А оставшиеся файлы MBAM же показывает как зараженные. Он ошибается? И теперь при каждой следующей проверке он будет на них "ругаться"?

Проблема решена.
Спасибо!

Цитата:

Цитата alissa_12

А оставшиеся файлы MBAM же показывает как зараженные. Он ошибается? И теперь при каждой следующей проверке он будет на них "ругаться"? »

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Из-за того, что у вас отключены уведомления Центра безопасности - брандмауэра Windows, службы Автоматического обновления и уведомление слежения за антивирусным ПО соотвественно.

Код:

c:\WINDOWS.0\system32\eventvwr.exe (Trojan.FakeMS) -> Not selected for removal.

Ложное срабатывание, файл системный.

Ну и последний вопрос:

Цитата:

Цитата zirreX

Может стоит эти службы включить? И как это сделать?
Из-за них ко мне пролезли вредоносные объекты?

Цитата:

Цитата alissa_12

Может стоит эти службы включить? И как это сделать?
Из-за них ко мне пролезли вредоносные объекты? »

alissa_12, нет не из-за них. Это всего лишь оповещения .
Включить можете через Панель управления - Центр обеспечения безопасности - Изменить способ оповещений Центром обеспечения безопасности, отмечаете пункты галочками.

Все понятно) Спасибо!