Jump to content
СофтФорум - всё о компьютерах и не только

Прошу помочь. Файлы autorun.inf, khs, khq


Recommended Posts

Добрый день. Просканировал всеми возможными антивирусами. Все равно, файлы autorun.inf, khs, khq появляются. Помогите пожалуйста победить врагов.

Спасибо.info.txtlog.txtvirusinfo_syscure.zipvirusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Link to comment
Share on other sites

Здравствуйте. Отключите автозапуск и дополнительно скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Файлы autorun.inf, khs, khq - удалите

Проверьте на virustotal.com

C:\windows\system32\msvcrt2.dll

C:\windows\system32\nmwcdcocls.dll

C:\windows\system32\msonpmon.dll

Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:ServicesA1AF336B:FilesC:\windows\system32\A1AF336B.exeC:\WINDOWS\system32\svchosst.exeC:\WINDOWS\system32\sysmgr.exeC:\WINDOWS\system32\system.exeC:\WINDOWS\system32\kerne1.exeF:\elabdu.exeC:\WINDOWS\system32\RavMon.exe:Reg[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]"C:\WINDOWS\system32\svchosst.exe"=-"C:\WINDOWS\system32\sysmgr.exe"=-"C:\WINDOWS\system32\system.exe"=-"C:\WINDOWS\system32\kerne1.exe"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009b58c2-b9e7-11dd-89ea-00c09f4e789a}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ca0ee78-c299-11dd-8a0d-000e355f53c2}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad722b90-c458-11dd-8a19-001167bc0940}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctfl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению

Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.)

Link to comment
Share on other sites

Спасибо за ответ.

Сделал все по списку.

На virustotal.com указанные файлы показали нулевые результаты.

лог OTMoveIt3

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

Service A1AF336B stopped successfully.

Service A1AF336B deleted successfully.

========== FILES ==========

C:\windows\system32\A1AF336B.exe moved successfully.

File/Folder C:\WINDOWS\system32\svchosst.exe not found.

File/Folder C:\WINDOWS\system32\sysmgr.exe not found.

File/Folder C:\WINDOWS\system32\system.exe not found.

File/Folder C:\WINDOWS\system32\kerne1.exe not found.

File/Folder F:\elabdu.exe not found.

File/Folder C:\WINDOWS\system32\RavMon.exe not found.

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\svchosst.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\sysmgr.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\system.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\WINDOWS\system32\kerne1.exe deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{009b58c2-b9e7-11dd-89ea-00c09f4e789a}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ca0ee78-c299-11dd-8a0d-000e355f53c2}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ad722b90-c458-11dd-8a19-001167bc0940}\\ deleted successfully.

========== COMMANDS ==========

File delete failed. C:\DOCUME~1\9335~1\LOCALS~1\Temp\WCESLog.log scheduled to be deleted on reboot.

File delete failed. C:\DOCUME~1\9335~1\LOCALS~1\Temp\~DFE935.tmp scheduled to be deleted on reboot.

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.

Local Service Temp folder emptied.

File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.

Local Service Temporary Internet Files folder emptied.

File delete failed. C:\windows\temp\Perflib_Perfdata_74c.dat scheduled to be deleted on reboot.

Windows Temp folder emptied.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\adoc.bx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\md.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\url.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\w.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\wb.vx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\adoc.bx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\md.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\url.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\w.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\wb.vx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\adoc.bx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\md.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\url.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\w.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\wb.vx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\adoc.bx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\md.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\url.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\w.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\wb.vx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\adoc.bx scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\md.dat scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\url.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\w.ax scheduled to be deleted on reboot.

File delete failed. C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\wb.vx scheduled to be deleted on reboot.

Opera cache emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01222009_224833

Files moved on Reboot...

C:\DOCUME~1\9335~1\LOCALS~1\Temp\WCESLog.log moved successfully.

C:\DOCUME~1\9335~1\LOCALS~1\Temp\~DFE935.tmp moved successfully.

C:\Documents and Settings\LocalService\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat moved successfully.

C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat moved successfully.

C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat moved successfully.

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

C:\windows\temp\Perflib_Perfdata_74c.dat moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\adoc.bx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\md.dat moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\url.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\w.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0006\wb.vx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\adoc.bx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\md.dat moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\url.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\w.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0003\wb.vx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\adoc.bx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\md.dat moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\url.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\w.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0002\wb.vx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\adoc.bx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\md.dat moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\url.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\w.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0001\wb.vx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\adoc.bx moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\md.dat moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\url.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\w.ax moved successfully.

C:\Documents and Settings\Администратор\Local Settings\Application Data\Opera\Opera\Profile\vps\0000\wb.vx moved successfully.

Отчет Malwarebytes' Anti-Malware

Malwarebytes' Anti-Malware 1.33

Версия базы данных: 1679

Windows 5.1.2600 Service Pack 3

23.01.2009 0:30:30

mbam-log-2009-01-23 (00-30-30).txt

Тип проверки: Полная (C:\|D:\|F:\|)

Проверено объектов: 121457

Прошло времени: 50 minute(s), 24 second(s)

Заражено процессов в памяти: 0

Заражено модулей в памяти: 0

Заражено ключей реестра: 0

Заражено значений реестра: 0

Заражено параметров реестра: 0

Заражено папок: 0

Заражено файлов: 1

Заражено процессов в памяти:

(Вредоносные программы не обнаружены)

Заражено модулей в памяти:

(Вредоносные программы не обнаружены)

Заражено ключей реестра:

(Вредоносные программы не обнаружены)

Заражено значений реестра:

(Вредоносные программы не обнаружены)

Заражено параметров реестра:

(Вредоносные программы не обнаружены)

Заражено папок:

(Вредоносные программы не обнаружены)

Заражено файлов:

C:\_OTMoveIt\MovedFiles\01222009_224833\windows\system32\A1AF336B.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Report.rarComboFix.rar

Report.rar

ComboFix.rar

Link to comment
Share on other sites

Valueff: По логам ничего плохого, проблемы ещё наблюдаются?

Можете ещё проверить d:\program files\RMClock\RTCore32.sys - но это вы вероятно сами ставили.

Почитайте Что такое Bonjour Service и как его удалить.

Link to comment
Share on other sites

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Запустите OtmoveIt, нажмите CleanUp!

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Создайте новую контрольную точку восстановления и очистите предыдущие:

- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX доп. см. Настройка параметров безопасности браузера Internet Explorer, использовать DropMyRights см. здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus

Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы

Чистого вам интернета!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...