ПК 2-3 раза перегружается перед WinLogScreen

[avatara30]

Сначала заметил что с ПК Юзера по SMTP протоколу ломится непонятно что на адрес maila.microsoft.com. Потом в личном общении узнал, что прежде чем войти и работать Пк перегружается 2-3 раза. В качестве антивиря стоит DR.Wer Enterprise Suite (лицензионный). При полной проверке ПК в Папке Windows/TEMP обнаруживаются вирусы 1.tmp 2.tmp A.tmp B.tmp 3.tmp 3.sys ну и так далее. и чем больше перезагрузок тем больше таких файликов. Проверка и очистка не помогла - после полного удаления, а затем после рестарта появляются снова.
Читал на форуме посты и обнаружил некоторое сходство (в корне диска С:/Settings/ arm - файлики) Применять скрипты написанные в других темах не рискнул, т.к. администрацией форума предупрежден.
Прикрепляю логи:

[Rene-gad]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mms32shosh.dll','');
 QuarantineFile('C:\WINDOWS\system32\rumdll32.exe','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('c:\windows\temp\7.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\2.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\4.tmp','');
 QuarantineFile('C:\WINDOWS\Temp\7.tmp','');
 DeleteFile('C:\WINDOWS\Temp\7.tmp');
 DeleteFile('C:\WINDOWS\Temp\4.tmp');
 DeleteFile('C:\WINDOWS\Temp\2.tmp');
 DeleteFile('c:\windows\temp\7.tmp');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteFile('C:\WINDOWS\system32\rumdll32.exe');
 DeleteFile('C:\WINDOWS\system32\mms32shosh.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[avatara30]

Все сделал как написали
В результате в папке темп все еще находятся 1-9.tmp A-D.tmp

[Rene-gad]

- Выполните скрипт

Код:

begin
SetAVZPMStatus(True);
RebootWindows(true);
end.

После перезагрузки:
- Сделайте повторные логи по правилам.

[avatara30]

С каждой перезагрузкой файликов *.tmp становится все больше и больше
У меня еще подозрение на папку C:/settings в ней лежат 2 неубиваеміх файлика - arm86.dll и arm80.dll

К сожалению продолжить смогу только завтра с утра (выгоняют из офиса)

[Rene-gad]

У Вас файловый зверь сидит. Нужно пролечиться: http://virusinfo.info/showthread.php?t=15927
Потом:
Скачайте, обновите базы, сделайте полную проверку, ничего не удаляйте, лог - в студию.

[avatara30]

Скачал, проверил, удалил после перезагрузки (нашел в файлике C:\Settings\arm80.dll). Второй файлик C:\Settings\arm86.dll удалил File Assasinom из той же утилиты (правда сначала пришлось убрать атрибуты Скрытый и сисемный). Перезагрузил, проверил Касперским, поудалялись все остатки. Почистил папку C:\Windows\temp Очистил корзину. Перезагрузил - вроде файлы *.tmp больше не появляются. Логи выкладываю

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\temp\\a.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182)
  2. c:\\windows\\temp\\2.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182)
  3. c:\\windows\\temp\\4.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182)
  4. c:\\windows\\temp\\7.tmp - SpamTool.Win32.Small.y (DrWEB: Trojan.EmailSpy.182)