Прт запуске Windows появляется предупреждение "Не открывается С:\Docume~1\..."

@senjou · Регистрация: 11.02.2012

Студворк — интернет-сервис помощи студентам

Добрый день.
Помогите, пожалуйста, с лечением компьютера.
При запуске Windows появляется предупреждение "Не открывается С:\Docume~1\...\%filename%.tmp".
Логи делал по мануалу, надеюсь на Вашу помощь.

@Techno · 11.02.2012, 16:19

Здравствуйте!!!

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ _______________

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Common Files\microsoft shared\cia8thk.ui','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\nhouIROsaD0.exe','');
 QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\XGuQ8zUQxko.exe','');
 QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\026834~1.EXE','');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\026834~1.EXE');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\nhouIROsaD0.exe');
 DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\XGuQ8zUQxko.exe');
 DeleteFile('C:\Program Files\Common Files\microsoft shared\cia8thk.ui');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
 RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ','%SystemRoot%\System32\srvsvc.dll');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Admin^Главное меню^Программы^Автозагрузка^XGuQ8zUQxko.exe');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST','*',true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:

Code
1
2
3
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите через данную форму. Укажите ссылку на тему и ник на форуме.

- Пофиксите

Code
1
2
F3 - REG:win.ini: load=C:\DOCUME~1\Admin\LOCALS~1\Temp\026834~1.EXE
F3 - REG:win.ini: run=C:\DOCUME~1\Admin\LOCALS~1\Temp\026834~1.EXE

- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск"), Повторите логи АВЗ и РСИТ.

@senjou · 11.02.2012, 17:19 **[ТС]**

При запуске винды бяка снова не появилась.
Пунктов

F3 - REG:win.ini: load=C:\DOCUME~1\Admin\LOCALS~1\Temp\026 834~1.EXE
F3 - REG:win.ini: run=C:\DOCUME~1\Admin\LOCALS~1\Temp\0268 34~1.EXE

у меня почему-то не было, был F2 c какой-то гадостью, я его пофиксил.
И почему-то rsit выдал мне только log.txt, инфо.тхт я скинул старый.

@Techno · 11.02.2012, 17:31

- Отключите антивирус/фаервол и интернет;
- Выполните в АВЗ:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Common Files\microsoft shared\cia8thk.ui');
 RegKeyParamWrite('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','ServiceDll','REG_EXPAND_SZ','%SystemRoot%\System32\srvsvc.dll');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\MicroST','*',true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\MicroST');
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\kFv3DjpT2zqfCal','*',true);
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\kFv3DjpT2zqfCal');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

- Повторите логи АВЗ и РСИТ.

@Katharsis · 11.02.2012, 17:38

а так же

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

@senjou · 11.02.2012, 18:04 **[ТС]**

anti-malware пока сканирует

@senjou · 11.02.2012, 18:22 **[ТС]**

лог сканирования

@Techno · 11.02.2012, 18:30

Удалите в MBAM:

Code
1
2
3
4
5
C:\Documents and Settings\Admin\Local Settings\Temp\1CB.tmp (Heuristics.Shuriken) -> Действие не было предпринято.
C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\WSBYX3X0\RSIT[1].exe (Trojan.Agent) -> Действие не было предпринято.
 
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

В остальном порядок.

Выполните Рекомендации после лечения
Смените пароли.

@senjou · 11.02.2012, 18:36 **[ТС]**

Спасибо.
Удалил их еще не дождавшись Вашего совета.
Еще раз спасибо всем Вам за помощь.

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .	SDL3 для Web (WebAssembly): Работа со звуком через SDL3_mixer 8Observer8 08.02.2026 Содержание блога Пошагово создадим проект для загрузки звукового файла и воспроизведения звука с помощью библиотеки SDL3_mixer. Звук будет воспроизводиться по клику мышки по холсту на Desktop и по. . .	SDL3 для Web (WebAssembly): Основы отладки веб-приложений на SDL3 по USB и Wi-Fi, запущенных в браузере мобильных устройств 8Observer8 07.02.2026 Содержание блога Браузер Chrome имеет средства для отладки мобильных веб-приложений по USB. В этой пошаговой инструкции ограничимся работой с консолью. Вывод в консоль - это часть процесса. . .
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .

@Katharsis 8571 / 4877 / 66 Регистрация: 16.09.2010 Сообщений: 14,446
	11.02.2012, 17:38
	а так же Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. 1

@senjou 0 / 0 / 0 Регистрация: 11.02.2012 Сообщений: 5
	11.02.2012, 18:36 [ТС]
	Спасибо. Удалил их еще не дождавшись Вашего совета. Еще раз спасибо всем Вам за помощь. 0