[Drongo]

graal75, Знаете анекдот про китайцев, когда они взломали сервер NASA вводя пароль Мао Цзедун и на 1 000 000 попытке сервер согласился с паролем. Мы этот файл тоже удалим таким макаром.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

KillAll::

Rootkit::
c:\windows\system32\tmp.tmp

File::
c:\windows\system32\tmp.tmp


Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

---

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[graal75]

Drongo, Анекдоты это хорошо. Только поиск этого гаденыша плавно перетекает из плоскости практической в сугубо академическую. Новые вести с полей прилагаю.

[Drongo]

Лог gmer чистый. Попробуем удалить вот так

• Скачайте OTMoveIt3 by OldTimer или с с зеркала - OTM by OldTimer и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)

Код:

:Processes
explorer.exe
lsass.exe

:Services

:Files
c:\windows\system32\tmp.tmp

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Правда если не удалится, кроме загрузочного Dr.Web LiveCD ничего не смогу посоветовать. Попробуйте удалить этот файл вручную через Unlocker 1.8.9

[graal75]

Вот лог ...

Код:

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process lsass.exe killed successfully!
========== SERVICES/DRIVERS ==========
========== FILES ==========
c:\windows\system32\tmp.tmp moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: graal
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 327706 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1814 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 4586690 bytes
Session Manager Tmp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 67 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 5,00 mb
 
 
OTM by OldTimer - Version 3.1.10.0 log created on 05162010_130726

Убийство этого tmp.tmp не есть сама цель. Он удаляется при загрузке с любого внешнего носителя или если прибить lsass.exe. Проблема в том, что он появляется после перезагрузки. Также такие файлы появляются в папках программ, имеющих доступ к сети, но удаляются после закрытия программ. На работу некоторых программ влияет, других - нет. Например Download master при запуске выдает ошибку и не полностью прорисовывается интерфейс, собственно это и было первым проявлением, но в то же время при загрузке виндоус в безопасном режиме DM работает как надо. Только в его папке tmp.tmp не создается вообще.
PS Вобщем сидит этот подранок в каком-то системном файле и не может напакостить, чтобы больше проявиться.

[Drongo]

Попробуйте ещё дополнительно провериться Dr.Web LiveCD. Просто не знаю что ещё предположить.

[iskander-k]

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::

Rootkit::
c:\windows\system32\mnnbokae.dll

File::
c:\windows\system32\mnnbokae.dll
Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

[graal75]

Спасибо Всем за помощь, но все решилось радикальным format c:, ввиду отсутствия времени на охоту. Есть ли какая-то принципиальная разница между проверкой Dr Web LiveCD и CureIt из-под Windows PE. Так как скачанный мной версии 5.0.3, работать отказался (данная тема на ихнем форуме детально отражена).

[Drongo]

Думаю что разницы нет. Хотя лучше пусть ещё ребята выскажутся.

[thyrex]

Цитата graal75:

Так как скачанный мной версии 5.0.3, работать отказался »

Даже в безопасном консольном режиме?

[graal75]

Безопасный консольный режим работает. Только я не разобрался, где отчёт о проверке посмотреть, а то результат в виде 0/0 или 0/5 не очень информативен.