[решено] Помогите справиться с вирусом.

alex_sev · Конфигурация компьютера

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\MediaGet2\mediaget.exe','');
 QuarantineFile('C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll','');
 QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
 QuarantineFile('C:\WINDOWS\system32\oxubxsk.dll','');
 QuarantineFile('C:\WINDOWS\system32\158.tmp','');
 DeleteFile('C:\WINDOWS\system32\158.tmp');
 DeleteFile('C:\WINDOWS\system32\oxubxsk.dll');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 DeleteFile('C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\IEBHO.dll');
 DeleteFile('C:\Documents and Settings\Пользователь\Local Settings\Application Data\MediaGet2\mediaget.exe');
 DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
 DelBHO('{474597C5-AB09-49d6-A4D5-2E8D7341384E}');
 DeleteFileMask('C:\Program Files\pchd\', '*.*', true);
 DeleteDirectory('C:\Program Files\pchd\');
 DeleteFileMask('C:\PROGRA~1\IMESHA~1\', '*.*', true);
 DeleteDirectory('C:\PROGRA~1\IMESHA~1\');
 DeleteFileMask('C:\Documents and Settings\Пользователь\Local Settings\Application Data\MediaGet2\', '*.*', true);
 DeleteDirectory('C:\Documents and Settings\Пользователь\Local Settings\Application Data\MediaGet2\');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MediaGet2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Andrey12 · mbam-log-2012-08-09 (09-26-09).txt

Огромнейшее Вам спасибо!!! Все вернулось на свои места, все работает! Отчет прикрепляю.

thyrex · Конфигурация компьютера

Запустите МВАМ повторно, дождитесь окончания сканирования, отметьте только указанные ниже пункты

Код:

Обнаруженные ключи в реестре:  34
HKCR\AppID\{6A44A601-E455-47D9-9712-0B79EEE39A9C} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{9285AB27-8BD7-421A-9AA5-2523C00D4E4A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\AppID\{D17B4854-A796-4173-9775-5FB684E40ADA} (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{0411B32B-E91D-4208-8913-9DB95BE806C3} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.ServerLayer.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.ServerLayer (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKCR\TypeLib\{C41FAEC8-6123-4F4D-8B1F-426AF5F9A59A} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Interface\{270860E2-0441-4BB9-9FE1-FAE0ECBB2E97} (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluginCore.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluginCore (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{7A05BDCB-8F81-45C5-B9EC-3764E6FC1439} (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluggableProtocol.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.PluggableProtocol (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\1kypc.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\CLSID\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Interface\{8DBC3732-863F-41B4-9A36-BCDBEB05E7C5} (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{BC64691C-C3A7-4913-9301-6D323BC72B93} (PUP.Rubar) -> Действие не было предпринято.
HKCR\TypeLib\{6515FF50-8533-49F9-B5A1-8839E9DF8E22} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Interface\{72FA4765-9255-4C69-AB1F-23F78B3D94D6} (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.RubarDealer.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\Broker.RubarDealer (PUP.Rubar) -> Действие не было предпринято.
HKCR\CLSID\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.Searcher.1 (PUP.Rubar) -> Действие не было предпринято.
HKCR\iebar.Searcher (PUP.Rubar) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{C44D2EA2-FCCE-4CE8-8710-5ED0D33F7677} (PUP.Rubar) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Backdoor.Bifrose) -> Действие не было предпринято.
HKCR\PROTOCOLS\Handler\rubar (PUP.Rubar) -> Действие не было предпринято.
HKCU\Software\winxarj (Hoax.ArchSMS) -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\Rubar Update Service (PUP.Rubar) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  3
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Параметры: Rubar Toolbar -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{23DD83B5-BDDC-49CE-B77B-514819C6D551} (PUP.Rubar) -> Параметры:  -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|RubarToolbar2758 (PUP.Rubar) -> Параметры:  -> Действие не было предпринято.

Объекты реестра обнаружены:  6
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Page_URL (Hijack.StartPage) -> Плохо: (http://webalta.ru) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.Homepage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Search Bar (Hijack.Search) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.google.com/) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|SearchAssistant (Hijack.SearchPage) -> Плохо: (http://webalta.ru/poisk) Хорошо: (http://www.Google.com/) -> Действие не было предпринято.
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Плохо: ("regedit.exe" "%1") Хорошо: (regedit.exe "%1") -> Действие не было предпринято.

Обнаруженные папки:  3
C:\Documents and Settings\Пользователь\Application Data\winzipsoft (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\Rubar-Toolbar (PUP.Rubar) -> Действие не было предпринято.

Обнаруженные файлы:  45
C:\Program Files\gtavicecity Toolbar\rubar.dll (PUP.Rubar) -> Действие не было предпринято.
C:\Program Files\gtavicecity Toolbar\RubarBroker.exe (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\_todel2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\sb-scroll-back.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\a.htm (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\bander.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\dir.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\dot.gif (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\htmlayout.dll (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\logo.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\logo2.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\rubashka.css (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\sb-h-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\sb-h-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\sb-scroll-base.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\sb-scroll-slider.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\sb-v-scroll-next.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\sb-v-scroll-prev.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\scroll.css (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\wfont.ttf (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\winzipvinfo (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\xsendexe.tmp (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\_todel.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\_todel3.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\_todel4.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\winzipsoft\_todel5.png (Hoax.ArchSMS) -> Действие не было предпринято.
C:\Program Files\gtavicecity Toolbar\RubarUpdateService.exe (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\LocalService\Application Data\Rubar-Toolbar\Service.log.log (PUP.Rubar) -> Действие не было предпринято.
C:\Documents and Settings\Пользователь\Application Data\Rubar-Toolbar\MsiHelper.log.log (PUP.Rubar) -> Действие не было предпринято.

и нажмите кнопку Удалить отмеченное

Предоставьте новый лог МВАМ

alex_sev · Конфигурация компьютера

+ к выше сказанному

Первое:

Подготовьте лог OTL by OldTimer

Второе:

Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
Прикрепите файл к следующему сообщению.

Подробнее читайте в руководстве.

Andrey12 · mbam-log-2012-08-09 (12-35-53).txt

Спасибо, сделал, файлы прикрепил. OLT оказался большим, добавил в архив.

alex_sev · Конфигурация компьютера

Запустите повторно OTL by OldTimer или OTL.com или OTL.scr.

Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

В окно Custom Scans/Fixes скопируйте следующую информацию:

Код:

:processes

:OTL
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://webalta.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://webalta.ru/poisk
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://webalta.ru/poisk
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://webalta.ru
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://webalta.ru/poisk
IE - HKU\S-1-5-21-989861536-3360114078-1614580379-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
IE - HKU\S-1-5-21-989861536-3360114078-1614580379-1006\..\SearchScopes\{4179ED28-0094-45eb-B743-1290A1B5FAFF}: "URL" = http://webalta.ru/poisk?q={searchTerms}
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2737658&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2737658&SearchSource=13"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2737658&SearchSource=2&q="
O2 - BHO: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (Reg Error: Value error.) -  - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (no name) - {23DD83B5-BDDC-49CE-B77B-514819C6D551} - No CLSID value found.
O3 - HKLM\..\Toolbar: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\imeshdtxmltbpi.dll File not found
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKU\S-1-5-21-989861536-3360114078-1614580379-1006..\Run: [c6d8fb104f552f7fd07d] iexplore.exe File not found
O32 - AutoRun File - [2010.03.24 01:54:50 | 000,000,175 | R--- | M] () - F:\autorun.inf -- [ UDF ]
O32 - AutoRun File - [2011.12.29 17:36:00 | 000,000,095 | ---- | M] () - Z:\AUTORUN.INF -- [ NTFS ]
O33 - MountPoints2\{0ca612f6-78b3-11df-ae1c-485b3945959c}\Shell - "" = AutoRun
O33 - MountPoints2\{0ca612f6-78b3-11df-ae1c-485b3945959c}\Shell\AutoRun\command - "" = E:\Launcher.exe -a
O33 - MountPoints2\{71065340-dd40-11e0-96de-1c4bd6b7f66e}\Shell - "" = AutoRun
O33 - MountPoints2\{71065340-dd40-11e0-96de-1c4bd6b7f66e}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{89042204-dadd-11df-ae84-485b3945959c}\Shell - "" = Autorun
O33 - MountPoints2\{89042204-dadd-11df-ae84-485b3945959c}\Shell\AutoRun\command - "" = E:\Install_Nokia_Ovi_Suite.exe
O33 - MountPoints2\{8e4b2c5e-ee49-11df-aeac-485b3945959c}\Shell - "" = AutoRun
O33 - MountPoints2\{8e4b2c5e-ee49-11df-aeac-485b3945959c}\Shell\AutoRun\command - "" = E:\MTSConnect_Setup.exe
O33 - MountPoints2\{ae69e140-dd3e-11e0-aa4a-1c4bd6b7f66e}\Shell - "" = AutoRun
O33 - MountPoints2\{ae69e140-dd3e-11e0-aa4a-1c4bd6b7f66e}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{ed478ed0-dba9-11df-ae86-485b3945959c}\Shell\AutoRun\command - "" = E:\Empty/autorun.exe
O33 - MountPoints2\{ed478ed0-dba9-11df-ae86-485b3945959c}\Shell\explore\command - "" = E:\Empty/autorun.exe
O33 - MountPoints2\{ed478ed0-dba9-11df-ae86-485b3945959c}\Shell\open\command - "" = E:\Empty/autorun.exe
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup.exe -- [2010.03.12 09:49:38 | 001,100,664 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\F\Shell\configure\command - "" = F:\setup.exe -- [2010.03.12 09:49:38 | 001,100,664 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\F\Shell\install\command - "" = F:\setup.exe -- [2010.03.12 09:49:38 | 001,100,664 | R--- | M] (Microsoft Corporation)
O34 - HKLM BootExecute: (autocheck autochk *)
@Alternate Data Stream - 153 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A
@Alternate Data Stream - 138 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:AB689DEA
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:BF14D50A
@Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC
@Alternate Data Stream - 121 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:10D14739
@Alternate Data Stream - 104 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D05EBBBF
:Services

:Files
C:\PROGRA~1\IMESHA~1\
autorun.inf /alldrives
recycler /alldrives
ipconfig /flushdns /c
:Reg

:Commands
[EMPTYJAVA]
[EMPTYFLASH]
[purity]
[Reboot]

Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
Компьютер перезагрузится.
После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Mozilla Firefox 12.0 Firefox out of Date!
Обновите до последней версии

Andrey12 · Отправлено: **21:15, 09-08-2012** | #8

Запустил OTL, вставил код, OTL подвис (не отвечает), перезагрузил компьютер принудительно.

текст в файле:

Files\Folders moved on Reboot...
File move failed. F:\autorun.inf scheduled to be moved on reboot.
File move failed. F:\setup.exe scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2010.03.24 01:54:50 | 000,000,175 | R--- | M] () F:\autorun.inf : MD5=4B7BFC85ABE1DB733A3383FE28A69831
[2010.03.12 09:49:38 | 001,100,664 | R--- | M] (Microsoft Corporation) F:\setup.exe : MD5=4D92F518527353C0DB88A70FDDCFD390

Registry entries deleted on Reboot...

alex_sev · Конфигурация компьютера

Удалите из скрипта все строки начинающиеся с O32 и O33 и выполните без них

Andrey12 · Отправлено: **22:18, 09-08-2012** | #10

В этот раз завис на 034 строке, удалил ее и все пошло.
Вот текст:

Код:

========== PROCESSES ==========
========== OTL ==========
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Search_URL| /E : value set successfully!
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Search\\SearchAssistant| /E : value set successfully!
HKU\S-1-5-21-989861536-3360114078-1614580379-1006\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-989861536-3360114078-1614580379-1006\Software\Microsoft\Internet Explorer\SearchScopes\{4179ED28-0094-45eb-B743-1290A1B5FAFF}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4179ED28-0094-45eb-B743-1290A1B5FAFF}\ not found.
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2737658&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "http://search.conduit.com/?ctid=CT2737658&SearchSource=13" removed from browser.startup.homepage
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2737658&SearchSource=2&q=" removed from keyword.URL
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{28387537-e3f9-4ed7-860c-11e69af4a8a0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28387537-e3f9-4ed7-860c-11e69af4a8a0}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{23DD83B5-BDDC-49CE-B77B-514819C6D551} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{23DD83B5-BDDC-49CE-B77B-514819C6D551}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{28387537-e3f9-4ed7-860c-11e69af4a8a0} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28387537-e3f9-4ed7-860c-11e69af4a8a0}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 not found.
Registry value HKEY_USERS\S-1-5-21-989861536-3360114078-1614580379-1006\Software\Microsoft\Windows\CurrentVersion\Run\\c6d8fb104f552f7fd07d not found.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:41ADDB8A deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:AB689DEA deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:BF14D50A deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:A064CECC deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:10D14739 deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:D05EBBBF deleted successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\PROGRA~1\iMesh Applications\MediaBar\ToolBar\chrome\skin folder moved successfully.
C:\PROGRA~1\iMesh Applications\MediaBar\ToolBar\chrome\content\widgets\net.vmn.www.PPCBully folder moved successfully.
C:\PROGRA~1\iMesh Applications\MediaBar\ToolBar\chrome\content\widgets folder moved successfully.
C:\PROGRA~1\iMesh Applications\MediaBar\ToolBar\chrome\content folder moved successfully.
C:\PROGRA~1\iMesh Applications\MediaBar\ToolBar\chrome folder moved successfully.
C:\PROGRA~1\iMesh Applications\MediaBar\ToolBar folder moved successfully.
C:\PROGRA~1\iMesh Applications\MediaBar\Datamngr folder moved successfully.
C:\PROGRA~1\iMesh Applications\MediaBar folder moved successfully.
C:\PROGRA~1\iMesh Applications folder moved successfully.
autorun.inf not found in C:\
autorun.inf not found in D:\
File move failed. F:\autorun.inf scheduled to be moved on reboot.
autorun.inf not found in I:\
autorun.inf not found in Z:\
C:\RECYCLER\S-1-5-21-989861536-3360114078-1614580379-1006 folder moved successfully.
C:\RECYCLER\S-1-5-21-2956990144-8181827994-924029223-8098 folder moved successfully.
C:\RECYCLER folder moved successfully.
D:\RECYCLER\S-1-5-21-989861536-3360114078-1614580379-1006 folder moved successfully.
D:\RECYCLER folder moved successfully.
recycler not found in F:\
I:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665 folder moved successfully.
I:\RECYCLER folder moved successfully.
recycler not found in Z:\
< ipconfig /flushdns /c >
No captured output from command...
C:\Documents and Settings\Пользователь\Рабочий стол\лечение вирусов\OTL\cmd.bat deleted successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYJAVA]
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: Пользователь
 
Total Java Files Cleaned = 0,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: LocalService
 
User: NetworkService
 
User: Пользователь
->Flash cache emptied: 3024 bytes
 
Total Flash Files Cleaned = 0,00 mb
 
 
OTL by OldTimer - Version 3.2.56.0 log created on 08092012_210804

Files\Folders moved on Reboot...
File move failed. F:\autorun.inf scheduled to be moved on reboot.

PendingFileRenameOperations files...
[2010.03.24 01:54:50 | 000,000,175 | R--- | M] () F:\autorun.inf : MD5=4B7BFC85ABE1DB733A3383FE28A69831

Registry entries deleted on Reboot...