[ Закрыто ] Win32/Kryptik.FOIB

На рабочем железе появилась проблемка: при подключении флеш-носителей с какими-либо документами или программами все файлы становятся невидимыми и создаются их ярлыки. При сканировании нод обнаружил в С/пользователи/администратор/appdata/roaming модифицированный win32/Kryptik.FOIB, очистил, удалил. При повторной проверке обнаружил его там же. Вручную удаляется, но через несколько секунд создает другую папку по тому же адресу.
1.jpg (239.63 КБ)
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
Надеюсь, что все правильно сделала.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\{2387E42D-9AD9-E61B-06F2-B9FB53722C15}\8E3834B2.EXE

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBKNBNAPADDJDNBILPMLACDKJDKJMBJHD%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Проблема флеш-носителей решена, новые пока не обнаружила.
спасибо за уделенное время)
1) В Malwarebytes - Лог чистый.

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
+
У вас установлено два антивируса.
KASPERSKY FREE 17
и
ESET NOD32 ANTIVIRUS

Нельзя, чтобы в системе одновременно было установлено два антивируса.
Удалите лишний антивирус.
Ссылка на FRST блокируется, переводит на роскомнадзор.
Результаты сканирования ниже.
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
EmptyTemp:
Reboot:
Выполнено
Читают тему (гостей: 1)