[Anruf]

пока удалил combofix. Выдал такой log.

[Drongo]

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

KillAll::

Rootkit::
C:\cmt.exe

File::
C:\cmt.exe

Driver::

Folder::

Registry::
f:\windows\system32\OP2jnCF.exe
f:\windows\system32\tRxPiR5.exe
f:\windows\system32\h8jgrbm.exe
f:\windows\system32\coHnwSb.exe
f:\windows\system32\Vr8idJ7.exe
f:\windows\system32\c5ah6mF.exe
f:\windows\system32\1syRqyU.exe
f:\windows\system32\W2lUilF.exe

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

[Anruf]

Загружался с диска Dr.Web LiveCD. Но он видит диск С и диск D. При этом диск D пишет что то типа raid бла бла.
Начинаешь проверку (сканирование), загружает базы антивирусные в память и пишет, что сканирование завершено. Короче, не видит он мои 2 диска, которые работаю в raid массиве.

Сделал всё как Вы написали про файл CFScript.txt.

Cobbofix запустился. Потом выдал окно, что типа надо временно отключить то ли автозапуск CD, то ли эмуляцию CD. Нажал "ок". Перезагрузка. Загрузилось окно combofix. начал работу и выскочил "синий экран смерти". Выдал следующее "BAD_POOL_HEADER" TECHNICAL INFO STOP: 0X00000019 (0X00000020, 0X8951B000, 0X8951B418,0X1A830000)

[Drongo]

Anruf, Тогда давайте так удалять

• Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
f:\windows\system32\OP2jnCF.exe
f:\windows\system32\tRxPiR5.exe
f:\windows\system32\h8jgrbm.exe
f:\windows\system32\coHnwSb.exe
f:\windows\system32\Vr8idJ7.exe
f:\windows\system32\c5ah6mF.exe
f:\windows\system32\1syRqyU.exe
f:\windows\system32\W2lUilF.exe
C:\cmt.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[Anruf]

Сделал. Файл с текстом сам открылся после перезагрузки.

========= PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
f:\windows\system32\OP2jnCF.exe moved successfully.
f:\windows\system32\tRxPiR5.exe moved successfully.
f:\windows\system32\h8jgrbm.exe moved successfully.
f:\windows\system32\coHnwSb.exe moved successfully.
f:\windows\system32\Vr8idJ7.exe moved successfully.
f:\windows\system32\c5ah6mF.exe moved successfully.
f:\windows\system32\1syRqyU.exe moved successfully.
f:\windows\system32\W2lUilF.exe moved successfully.
File/Folder C:\cmt.exe not found.
========== REGISTRY ==========
========== COMMANDS ==========
File delete failed. F:\DOCUME~1\Vova\LOCALS~1\Temp\SmaE.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 05162010_194540

Files moved on Reboot...
F:\DOCUME~1\Vova\LOCALS~1\Temp\SmaE.tmp moved successfully.
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

[Drongo]

Всё удалено успешно. Вот ваша проблемная папка с файлом ...\Temporary Internet Files\Content.IE5\index.dat тоже удалилась.

Цитата Anruf:

F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully. »

Теперь проблема осталась?

[Anruf]

все равно вешается система при проверке антивирусом на месте F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\G1E749AN. Файл с расширением htc. Последний раз на файле CAW???.htc.

F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\

в этой папке еще висят такие папки - 69ULWVH3 (скрытая), G1E749AN, OHM749IJ, VJ37M9WD (скрытая), WGZ008GH (скрытая), X639SHTZ (скрытая).

[Drongo]

А давайте мы эти папки попробуем удалить? Вообще, впишите дополнительно все папки из ...\Temporary Internet Files\Content.IE5\ которые ещё остались.

• Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe

:Services

:Files
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\69ULWVH3
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\G1E749AN
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\OHM749IJ
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\VJ37M9WD
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\WGZ008GH
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\X639SHTZ

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

[Anruf]

Первый раз - OTmoveIt завис. Потом запустил от имени администратора. (Система WinXP SP3). Программа перегрузила компьютер. Вышел лог:
========= PROCESSES ==========
Unable to kill process: explorer.exe
========== SERVICES/DRIVERS ==========
========== FILES ==========
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\69ULWVH3 not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\G1E749AN not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\OHM749IJ not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\VJ37M9WD not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\WGZ008GH not found.
File/Folder F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\X639SHTZ not found.
========== REGISTRY ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 05162010_202622

Files moved on Reboot...
F:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat moved successfully.

Все папки на месте, кроме F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5\69ULWVH3

[Drongo]

Удалите так

• Скачайте Avenger by Swandog46 или с зеркала и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта

Код:

Begin copying here:
Drivers to disable:

Drivers to delete:

Files to delete:

Folders to delete:
F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5
"F:\Documents and Settings\Vova\Local Settings\Temporary Internet Files\Content.IE5"

Registry values to delete:

Registry keys to delete:

Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.

Нажмите Execute и подтвердите, нажав Yes

Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.

Скопируйте и вставьте содержимое файла c:\avenger.txt в следующее сообщение.

The Avenger Script Tutorial