Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.50/16: Рейтинг темы: голосов - 16, средняя оценка - 4.50
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
1

подозрение на трояна

21.06.2010, 02:42. Просмотров 2835. Ответов 23
Метки нет (Все метки)

нод32 и сканер от веба находят троянов периодически, также возникает проблема с улетающим трафиком. очень надеюся на помощь.
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (19.6 Кб, 22 просмотров)
Тип файла: zip virusinfo_syscure.zip (23.2 Кб, 24 просмотров)
Тип файла: zip info.zip (7.3 Кб, 66 просмотров)
Тип файла: zip log.zip (9.0 Кб, 38 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
21.06.2010, 02:42
Ответы с готовыми решениями:

подозрение на Trojan ,подозрение на Exploit.Win32.IH_Infector.12 и Маскировка процесса
Всем привет!!! извините я нуб и прошу помоши у всех кто откликница и заранее...

Последствия трояна
Здравствуйте. Помогите избавится от последствий троянов Win32/Spy.Shiz.NBD и...

Скачал трояна
Скачал трояна, теперь реклама во всех браузерах, троян ремовер не находит, нод...

как удалить трояна.
Всем привет...у меня вот один из вот таких...

Происки дикого трояна
Добрый день, друзья. Столкнулся сегодня с лютой проделкой вирусописцев и в...

23
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
21.06.2010, 21:58 2
Доброе утро!

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или c
помощью ATF Cleaner

- скачайте ATF Cleaner , запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Пофиксить в HijackThis следующие строчки:

Код
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\nanLIXh.exe,\\?\globalroot\systemroot\system32\41ALYpt.exe,
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".


Код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\progra~1\fieryads\fieryads.dll','');
 QuarantineFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe','');
 QuarantineFile('C:\WINDOWS\system32\tmp.tmp','');
 QuarantineFile('C:\WINDOWS\system32\mbjrdltf.dll','');
 QuarantineFile('C:\WINDOWS\system32\servises.exe','');
 DeleteFile('C:\WINDOWS\system32\servises.exe');
 DeleteFile('C:\WINDOWS\system32\tmp.tmp');
 DeleteFile('C:\WINDOWS\system32\mbjrdltf.dll');
 DeleteFile('c:\progra~1\fieryads\fieryads.dll');
 DeleteFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe');
 DelBHO('{CF272101-7F6E-4CF2-9453-B4C5D2FC32C0}');
 DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(1);
 ExecuteRepair(19);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки выполнить второй скрипт:

Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine .zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Повторите логи АВЗ + RSIT...!Что с проблемами?

Добавлено через 3 часа 47 минут
Желаем удачи!
1
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
22.06.2010, 00:47  [ТС] 3
Добрый вечер! или утро...

после выполнения первого скрипта комп не смог сам перегрузиться, я ему немного помог
исчезла проблема с сообщениями о входе с удостоверением и т.д.
появилась возможность выйти в инет, до этого инет открывался ну очень медленно и как правило не хватало времени
карантин.зип отправил касперскому и получил письмо на мыло типа файл в процессе обработки. если еще что-нибудь пришлют отпишусь.
скачал Malwarebytes' Anti-Malware с зеркала автоматом обновился и английских кнопок я там не нашел ))
всё на русском... при проверке реестра было найдено 10 инфицированных объектов, пока процесс проверки еще не закончился, как будет чего отпишусь.

и вот еще, пока я тут выполняю эти все инструкции нод нашел трояна

21.06.2010 23:15:54 Защита в режиме реального времени файл C:\System Volume Information\_restore{AB58D152-44CC-4706-B783-14A6915588F1}\RP14\A0014765.DLL Win32/Agent.OFM троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe.
21.06.2010 21:34:15 Защита в режиме реального времени файл C:\WINDOWS\system32\mbjrdltf.dll Win32/Agent.OFM троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.

Добавлено через 27 минут
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4221

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.06.2010 23:44:50
mbam-log-2010-06-21 (23-44-50).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|)
Просканированные объекты: 287017
Времени прошло: 1 часов, 5 минут, 2 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 15
Зараженные параметры в реестре: 5
Объекты реестра заражены: 2
Зараженные папки: 4
Зараженные файлы: 8

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bitaccelerator.bitaccelerator.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c1de446a-8770-4621-9378-f1922c74a36c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{92860a02-4d69-48c1-82d7-ef6b2c609502} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{b87b54f6-7cd5-45b2-b873-3f95c558768a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BitAccelerator (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\TMAgency (Adware.TMAagent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Target Marketing Agency (Adware.TMAagent) -> Quarantined and deleted successfully.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services\del (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\zip (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Зараженные папки:
C:\Documents and Settings\Alex\Application Data\FieryAds (Adware.FieryAds) -> Quarantined and deleted successfully.
C:\Program Files\BitAccelerator (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Program Files\FieryAds (Adware.Adware.FearAds) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Главное меню\Программы\BitAccelerator (Trojan.BHO) -> Quarantined and deleted successfully.

Зараженные файлы:
D:\alc\CRACK\Alcohol.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\alc\CRACK\patch_ssc.exe (Trojan.Patcher) -> Quarantined and deleted successfully.
C:\Program Files\BitAccelerator\Uninstall.exe (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Главное меню\Программы\BitAccelerator\BitAccelerator.lnk (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Главное меню\Программы\BitAccelerator\Uninstall.lnk (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Documents and Settings\Alex\Application Data\fieryads.dat (Adware.FieryAds) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_id.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
22.06.2010, 01:31  [ТС] 4
повторяю логи авз и рсит

проблемы вроде ушли, ну разве что папка "Documents and Settings" ну очень долго открывается, но возможно это не из-за вируса
огромное спасибо за помощь - стало легче жить, если будут еще указания и рекомендации, то я никуда не пропал.
0
Вложения
Тип файла: zip virusinfo_syscure.zip (19.3 Кб, 18 просмотров)
Тип файла: zip virusinfo_syscheck.zip (19.4 Кб, 15 просмотров)
Тип файла: zip info.zip (7.2 Кб, 127 просмотров)
Тип файла: zip log.zip (8.5 Кб, 23 просмотров)
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
22.06.2010, 13:26 5
В логи, чтобы увидеть две антивирусных программ.Возможные конфликты!

======Security center information======

AV: Антивирус Касперского (outdated)
AV: ESET Smart Security 3.0
FW: Персональный файервол ESET
FW: Антивирус Касперского
Удалить остатки КАВ:kavremover

Добавлено через 16 минут
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код
:Processes
explorer.exe

:Services

:Files

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOCUME~1\Alex\LOCALS~1\Temp\127cb44.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\127e554.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13e78bf.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2c9af.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\9336e3.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\934d3a.exe"="-
"C:\C.EXE"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1aa692.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\21d948.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\901d5f.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\9073bc.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1364d.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\14f73.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f63d6.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\5d9100.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\906276.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\9137f6.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\bf4d34.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\ed659e.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\30f6ba.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\310c27.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\5f1f41.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1de26.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13e1d.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\205f1.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1cbb7.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\60c8ea.exe"="-
"C:\Documents and Settings\Alex\Local Settings\Temp\60c8ea.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\613706.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13330.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\15946.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1319a.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1467a.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f5791.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\5d85a6.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\24b18.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\305b84.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\8e5793.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2303d.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\3036f4.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13321.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\14968.exe"="-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f603c.exe"="-
 
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.


Обновите базы AVZ и сделайте лог virusinfo_syscheck+ RSIT...! Что с проблемами?
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
22.06.2010, 19:18  [ТС] 6
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\127cb44.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\127e554.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\13e78bf.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\2c9af.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\9336e3.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\934d3a.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\C.EXE"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\1aa692.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\21d948.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\901d5f.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\9073bc.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\1364d.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\14f73.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f63d6.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\5d9100.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\906276.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\9137f6.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\bf4d34.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\ed659e.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\30f6ba.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\310c27.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\5f1f41.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\1de26.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\13e1d.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\205f1.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\1cbb7.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\60c8ea.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\Documents and Settings\Alex\Local Settings\Temp\60c8ea.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\613706.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\13330.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\15946.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\1319a.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\1467a.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f5791.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\5d85a6.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\24b18.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\305b84.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\8e5793.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\2303d.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\3036f4.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\13321.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\14968.exe"|"- /E : value set successfully!
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f603c.exe"|"- /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 348 bytes

User: Alex
->Temp folder emptied: 133342 bytes
->Temporary Internet Files folder emptied: 1710390 bytes
->Java cache emptied: 49677839 bytes
->FireFox cache emptied: 38879859 bytes
->Google Chrome cache emptied: 6348449 bytes
->Opera cache emptied: 3542378 bytes
->Flash cache emptied: 837388 bytes

User: Администратор
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2474742 bytes
%systemroot%\System32 .tmp files removed: 17473553 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33710 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 116,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06222010_181006

Files moved on Reboot...

Registry entries deleted on Reboot...
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
22.06.2010, 19:33  [ТС] 7
AVZ+RSIT

После программы ОТМ комп сам не перегрузился, а может я не дождался

Спасибо! вроде проблем нет, папка "Documents and Settings" по прежнему открывается долго
еще раз спасибо, если будут еще рекомендации, всегда рад исполнить.
1
Вложения
Тип файла: zip log.zip (8.2 Кб, 38 просмотров)
Тип файла: zip virusinfo_syscheck.zip (20.2 Кб, 15 просмотров)
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
23.06.2010, 18:12 8
Скачайте OTM by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код
:Processes
explorer.exe

:Services

:Files

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOCUME~1\Alex\LOCALS~1\Temp\127cb44.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\127e554.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13e78bf.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2c9af.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\9336e3.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\934d3a.exe"=-
"C:\C.EXE"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1aa692.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\21d948.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\901d5f.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\9073bc.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1364d.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\14f73.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f63d6.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\5d9100.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\906276.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\9137f6.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\bf4d34.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\ed659e.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\30f6ba.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\310c27.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\5f1f41.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1de26.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13e1d.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\205f1.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1cbb7.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\60c8ea.exe"=-
"C:\Documents and Settings\Alex\Local Settings\Temp\60c8ea.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\613706.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13330.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\15946.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1319a.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\1467a.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f5791.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\5d85a6.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\24b18.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\305b84.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\8e5793.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2303d.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\3036f4.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\13321.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\14968.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2f603c.exe"=-
 
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Сделайте лог virusinfo_syscheck+ RSIT...! Что с проблемами?
1
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
23.06.2010, 21:48  [ТС] 9
All processes killed
Error: Unable to interpret < > in the current context!
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\127cb44.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\127e554.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\13e78bf.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\2c9af.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\9336e3.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\934d3a.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\C.EXE deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\1aa692.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\21d948.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\901d5f.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\9073bc.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\1364d.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\14f73.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\2f63d6.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\5d9100.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\906276.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\9137f6.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\bf4d34.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\ed659e.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\30f6ba.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\310c27.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\5f1f41.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\1de26.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\13e1d.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\205f1.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\1cbb7.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\60c8ea.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\Documents and Settings\Alex\Local Settings\Temp\60c8ea.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\613706.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\13330.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\15946.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\1319a.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\1467a.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\2f5791.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\5d85a6.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\24b18.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\305b84.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\8e5793.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\2303d.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\3036f4.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\13321.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\14968.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\2f603c.exe deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Alex
->Temp folder emptied: 16384 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 21783431 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 1209 bytes

User: Администратор
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 21,00 mb

========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
->Flash cache emptied: 0 bytes

User: Alex
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Администратор
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 0,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06232010_195329

Files moved on Reboot...

Registry entries deleted on Reboot...

AVZ+RSIT прилагаю

Папка "Documents and Settings" по прежнему проблемная - (уточнение) не открывается, хотя если в адресной строке буквами пропишешь то никаких проблем

ответа от касперского я так и не дождался пока еще
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (18.3 Кб, 10 просмотров)
Тип файла: zip log.zip (7.9 Кб, 26 просмотров)
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
24.06.2010, 17:15 10
Добрый день!Продолжать...!

Выполните следующий скрипт с OTM by OldTimer:

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код
:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\servises.exe
C:\c.exe

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOCUME~1\Alex\LOCALS~1\Temp\24ea3.exe"=-
"C:\DOCUME~1\Alex\LOCALS~1\Temp\2a3b8.exe"=-

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Что с проблемами?
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
25.06.2010, 17:51  [ТС] 11
All processes killed
Error: Unable to interpret < > in the current context!
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder C:\WINDOWS\system32\servises.exe not found.
File/Folder C:\c.exe not found.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders\\"SecurityProviders"|"msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\24ea3.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedap plications\list\\C:\DOCUME~1\Alex\LOCALS~1\Temp\2a3b8.exe deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 0 bytes

User: Alex
->Temp folder emptied: 163970 bytes
->Temporary Internet Files folder emptied: 24904418 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 59023141 bytes
->Google Chrome cache emptied: 202313165 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 5052 bytes

User: Администратор
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 273,00 mb


OTM by OldTimer - Version 3.1.12.2 log created on 06252010_164451

Files moved on Reboot...

Registry entries deleted on Reboot...

Папка "Documents and Settings" по прежнему проблемная...
0
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
25.06.2010, 18:03 12
Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."
1
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
25.06.2010, 19:45  [ТС] 13
SDFix во время работы перегрузился и закончил свою работу уже в обычном режиме
ComboFix перегружался пару раз и закончил работу в режиме с включенным НОД32
и в процессе сканирования НОД выловил чего-то такое ...

25.06.2010 18:06:17 Защита в режиме реального времени файл C:\DOCUME~1\Alex\LOCALS~1\Temp\Av-test.txt Eicar тест файла очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\ComboFix\CF19683.cfxxe.
0
Вложения
Тип файла: zip Report.zip (1.8 Кб, 21 просмотров)
Тип файла: zip ComboFix.zip (5.9 Кб, 31 просмотров)
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
25.06.2010, 19:53 14
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

Что с проблемами?
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
26.06.2010, 12:05  [ТС] 15
Папка "Documents and Settings" очень долго (2-3 минуты) открывается, при этом явно слышна работа винчестера
0
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
26.06.2010, 12:26 16
Ццццц.....Жесткий папку..!!!
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
26.06.2010, 13:25  [ТС] 17
ну так может ну его, в смысле её?
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
26.06.2010, 23:29  [ТС] 18
провел дефрагментацию диска С, может поможет результат?
0
Вложения
Тип файла: zip ТомC.zip (1.0 Кб, 38 просмотров)
icotonev
Вирусоборец
788 / 157 / 5
Регистрация: 17.03.2010
Сообщений: 280
26.06.2010, 23:41 19
Любое изменение..?

Добавлено через 6 минут
Код
30              205 МБ          \Documents and Settings\All Users\Application Data\ESET\ESET Smart Security\Logs\EPFWLOG.DAT
634             400 МБ          \Documents and Settings\Alex\Local Settings\Application Data\Google\GoogleEarth\dbCache.dat
0
Matumba
1 / 1 / 0
Регистрация: 21.06.2010
Сообщений: 43
26.06.2010, 23:44  [ТС] 20
не понял что нада сделать?
да еще ... файловая система FAT32
0
26.06.2010, 23:44
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
26.06.2010, 23:44

15 минут для трояна
Поймал трояна через оперу через js(хотел же ява скрипт отключить:( ) Каспер...

Из-за трояна винда не грузится
Вчера кидала с флэшки на комп cureit, он сделал быструю проверку и ничего не...

Не заходит на сайты из за трояна
C:\windows\system32\drivers\etc\hosts тут нада что то удалить, скажите что...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru