[thyrex]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

[graal75]

Запустил ComboFix при подключенном интернете. В результате проверка длилась около шести часов, выскочило пару ошибок приложения PEV.exe, процесс lsass.exe загрузил процессор на 100%. Я плюнул, перезагрузился без инета. Проверка прошла быстро. На сайты антивирусников и virus.info теперь пускает. Но в c:\windows\system32 так и появляется неудаляемый tmp.tmp. Впрочем он появляется в папках всех приложений, имеющих доступ к сети (браузер, мессенджер), и не удаляется пока приложение открыто.

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\tmp.tmp

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[graal75]

Вот новый отчет. Результат отрицательный. И программы с выходом в инет ломятся на 91.213.174.20:2300.

[Drongo]

graal75, Вы живёте в Волгограде? У вас локальная сеть? Эти IP не вашего провайдера?

[MotherBoard]

Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[graal75]

Drongo, Нет, нет и ещё раз нет. Да и не должен LSA Shell или Windows Installer лезть куда-то там на VolgoHost.
MotherBoard, Прилагаю отчет Gmer.

[Drongo]

Лог gmer чистый

Выполните этот скрипт

• Скачайте Avenger by Swandog46 или с зеркала и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта

Код:

Begin copying here:
Drivers to disable:

Drivers to delete:
MEMSWEEP2

Files to delete:
c:\windows\system32\tmp.tmp
c:\profiles\graal\tmp.tmp
c:\windows\system32\F2.tmp

Folders to delete:

Registry values to delete:

Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2

Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.

Нажмите Execute и подтвердите, нажав Yes

Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.

Скопируйте и вставьте содержимое файла c:\avenger.txt в следующее сообщение.

Повторите лог ComboFix

[graal75]

Вобщем толку мало. Файл c:\windows\system32\tmp.tmp появляется снова и занят процессом lsass.exe.