[решено] Появились новые папки device на всех дисках

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] Появились новые папки device на всех дисках (http://forum.oszone.net/showthread.php?t=301528)

dm-16

22-06-2015 19:02 2521214

Появились новые папки device на всех дисках

Вложений: 1

CollectionLog-2015.06.22-18.50.zip (97.70 KB, скачиваний: 12)

Доброго дня, на всех дисках стали появляться папки Device, после удаления и перезагрузки снова появляются. Компьютер был заражен adware, все что нашлось, удалено. До заражения папок не появлялось, после лечения ПО не устанавливалось. Помогите пожалуйста. Логи прилагаются.

iskander-k

22-06-2015 19:53 2521233

Через панель управления- установка программ или программы и компоненты- удалите программу MiuiTab

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin

  StopService('IHProtect Service');

 QuarantineFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','');

 QuarantineFile('C:\Program Files (x86)\MiuiTab\ProtectService.exe','');

 DeleteFile('C:\Program Files (x86)\MiuiTab\ProtectService.exe','32');

 DeleteFile('C:\Program Files (x86)\MiuiTab\SupTab.dll','32');

DelBHO('{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F}');

 DeleteService('IHProtect Service');

end.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:



R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1434891867&z=62dba6b1e1649523ec72fffg1zcc9zab8tagcbcqbw&from=cor&uid=SanDiskXSDSSDHII120G_151264400954&q={searchTerms}

• Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, подробнее здесь . Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

dm-16

22-06-2015 22:27 2521279

Вложений: 2

mbam-log-2015-06-22 (22-04-50).txt (23.90 KB, скачиваний: 10)
WfpAdmin.7z (24.00 KB, скачиваний: 8)

Спасибо, все сделал.
MiuiTab была удалена вчера, сейчас указанной папки нет. АВЗ скрипт сделал.
Еще замечу, что еще до Вашего ответа успел удалить программу Bonjour вот по этой технологии forum.oszone.net/post-982174.html#post982174
Программа оказалась нужной для Automap (скачан с оф. сайта), поэтому его переустановил, ну и соответственно он снова поставил Bonjour.
Еще я заархивировал файл WfpAdmin.exe (прикрепил к сообщению).
В общем после этих двух процедур папки появляться пока перестали, но Malware обнаружил много интересного... ((
Жду дальнейших указаний.
Еще раз Спасибо.

dm-16

22-06-2015 23:14 2521303

Еще замечу, что до удаления Bonjour, такая служба висела в статусе Работает, а при запуске системы брандмауэр запрашивал разрешений для AutomapServer.exe. После удаления и переустановки, служба не висит, брандмауэр не ругается. Возникло подозрение, что вирус проник в Bonjour, и что то там нехорошее делал...
Еще по поводу папок нашел вот такую статью http://www.naumen.ru/products/servic...cal_folder.htm точнее мануал, и если я правильно понял, то эти папки создаются определенным драйвером для синхронизации содержимого с определенным сервером...

Sandor

23-06-2015 08:14 2521370

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

dm-16

23-06-2015 13:56 2521479

Вложений: 1

AdwCleaner[R0].txt (4.10 KB, скачиваний: 9)

Спасибо, сделал.

Sandor

23-06-2015 14:01 2521480

[ProxyServer] - localhost:8555 - это Ваша настройка?

dm-16

23-06-2015 14:26 2521487

Думаю, что нет. Вручную точно прокси не менял...

Sandor

23-06-2015 14:29 2521488

Запустите повторно AdwCleaner (by Xplode) (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать").
По окончанию сканирования снимите галочки со следующих строк:

Код:

***** [ Файлы / Папки ] ***** Файл Найдено : C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\mailru.xml
Нажмите кнопку "Clean" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

dm-16

23-06-2015 16:22 2521530

Вложений: 1

AdwCleaner[S0].txt (3.30 KB, скачиваний: 10)

Спасибо. Выполнил.

Sandor

23-06-2015 16:29 2521535

Для контроля повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

dm-16

23-06-2015 16:35 2521539

Вложений: 2

AdwCleaner[S0].txt (3.30 KB, скачиваний: 8)
mbam-log-2015-06-23 (16-24-26).txt (8.20 KB, скачиваний: 9)

Прогнал еще раз Malwarebytes...

dm-16

23-06-2015 16:43 2521545

Вложений: 1

CollectionLog-2015.06.23-16.42.zip (96.30 KB, скачиваний: 9)

Автологер

Sandor

23-06-2015 16:48 2521547

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код:

begin

 ExecuteRepair(8);

RebootWindows(false);

end.

Компьютер перезагрузится.

Сообщите что с проблемой.

dm-16

24-06-2015 09:47 2521806

Спасибо огромное за помощь!
Прогнал всеми возможными антивирусами, угроз не обнаружено.

Sandor

24-06-2015 09:48 2521807

В завершение -

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var

LogPath : string;

ScriptPath : string;

begin

 LogPath := GetAVZDirectory + 'log\avz_log.txt';

 if FileExists(LogPath) Then DeleteFile(LogPath);

 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 

begin

    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 

else begin

       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

       exit;

      end;

  end;

 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

dm-16

24-06-2015 15:05 2521967

Спасибо. АВЗ ничего не обнаружил.

Sandor

24-06-2015 15:07 2521969

Рекомендации после лечения.

Удачи!

Время: 21:36.