подозрение на заражение

[KUS]

Добрый день. Появилась проблема: не совсем адекватно ведёт себя ком-ер. Периодически сбиваются иконки на рабочем столе, в св-вах локальных дисков появилась вкладка "автозапуск", коей раньше не было. Посмотрите, пожалуйста, логи.

____.rar

____.rar

[KUS]

Прошу прощения, архив был под паролем. Выкладываю заново.

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

[KUS]

Друзья, посмотрите, пожалуйста, логи...

[ТроПа]

Скачайте OTMoveIt3 by OldTimer и сохраните на рабочий стол.

Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)

временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

:Processesexplorer.exe:Services:Files:Reg[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4614141e-bfcc-11dd-b00a-806d6172696f}][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5285055a-c094-11dd-82c9-0016179b66f5}]:Commands[purity][emptytemp][start explorer][Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.

Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[KUS]

wise-wistful: не могу скачать OTMoveIt3 by OldTimer (ссылка битая)....

[KUS]

wise-wistful: извиняюсь, уже скачал с зеркала

[KUS]

wise-wistful: лог от OTMoveIT3 прилагаю:

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4614141e-bfcc-11dd-b00a-806d6172696f}\\ deleted successfully.

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5285055a-c094-11dd-82c9-0016179b66f5}\\ deleted successfully.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Temp folders emptied.

Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 06222009_140758

[KUS]

wise-wistful, к сожалению, автозапуск из свойств локальных дисков не исчез, по-прежнему система не запоминает настройки проводника, в частности, вид папок и элементов в них. Субъективно, на заражение не похоже, скорее, некий глюк системы...

[KUS]

wise-wistful, посмотрите, пожалуйста, лог от OTMoveIT3, как дела обстоят? Проблемы мои не исчезли. :)

[ТроПа]

Я смотрел, он отчитался, что удалил, то что я хотел.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится лог сохраниться в файл C:\ComboFix.txt

Запакуйте и выложите лог ComboFix.

[KUS]

wise-wistful: Каспер ругается на Combofix во время закачки. Это нормально?

[ТроПа]

Да, это нормально. После того как скачаете и будете запускать - отключите Каспера, а то они не дружат :)

[KUS]

wise-wistful, лог от ComboFix:

....я и не думал, что он все настройки у меня в дефолт скинет :g:

Combofix.rar

Combofix.rar

[ТроПа]

Хм и тут ничего подозрительного.

[KUS]

wise-wistful: Мне тоже субъективно кажется, что дело совсем не в зловредах...Потому как в остальном поведение ком-ра нормальное ( загрузка быстрая, производительность в норме, выключается без проблем, штатные утилиты доступны). Даже не знаю, в чём дело... В любом случае большое спасибо за помощь. Если есть ещё какие-нибудь идеи, не откажите. :g:

[altaire saref]

плиз,помогите разобраться,проблема такая:частое обновление иконок на рабочем столе и в папках,появление ошибок Explore.exe,csrsc.exe.Компьютер стал работать медленнее.Нет-нет блокируется опера.Провел проверку как указано в правилах,ничего не было найдено.Сейчас стоит Авира 2009 Премиум,если не трудно оставьте отзывы об этом антивирусе,кто пользовался,просто до этого стоял Касперский с ним было поспокойней.

[Matias]

Провел проверку как указано в правилах,ничего не было найдено.

Выложите логи, которые создались в результате проверки.

[шпилька]

Сначала надо выполнить правила.

Подготовить логи. У нас хорошие специалисты. Скорее всего зараза какая-то присутствует.

По Avire сюда .

Извини, Matias, не заметила, что ты уже ответил. :)

Изменено 5 августа, 2009 пользователем шпилька