Подозрительный файл desktop.ini в папке GAC

[SerDiman]

Добрый день! Помогите очистить вирусы. После полного сканера Dr.Web CureIt! обнаружены два подозрительных файла, они обезврежены, но они появляются после перезагрузки ПК. Прилагаю скриншот отчета и логи.

[Info_bot]

Уважаемый(ая) SerDiman, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wscsvc', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wscsvc исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки: файл fystemRoot.log из папки AVZ прикрепите.

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Сделайте лог GMER (http://virusinfo.info/showthread.php?t=40118)

[SerDiman]

Файл fystemRoot.log пустой

[mike 1]

Выполните еще раз скрипт из 3 сообщения только в этот раз запускайте AVZ от имени Администратора через контекстное меню проводника.

1. Скачайте TDSSKiller
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

[SerDiman]

Файл fystemRoot.log тоже пустой файл. Прилагаю лог TDSSKiller

- - - Добавлено - - -

После TDSSkiller я просканировал D.Web CureIt! и удалил autorun.ini, и больше не появляется. Именно помогала программа TDSSkiller! Спасибо большое! Поддерживаю проект!

[thyrex]

Выполните скрипт

[SerDiman]

thyrex, выполнил...

[mike 1]

Прикрепите текстовый файл Correct_wuauserv&BITS.log. Папку TDSSKiller_Quarantine в корне системного раздела запакуйте в архив с паролем virus и пришлите согласно приложения 2 "Прислать запрошенный карантин".

Сделайте новые логи AVZ

Сделайте новый лог TDSSKiller

[SerDiman]

Новая проблема, в Chrome при загрузке любого файла пишет ошибка: Не удалось выполнитьь проверку на вирусы, я удалил Chrome и папку Chrome из Program Files и Users и ставил его - бесполезно, в других браузерах всё нормально качаются. Из папки каратнтина антивирус один файл удалил, его восстановить не могу, в карантине пусто.
Файлы не могу прикрепить, выдает ошибка при отправке файлов в вирусинфо......

[mike 1]

Попробуйте загрузить отчеты на http://www.rhgost.ru , а полученную ссылку прикрепить на форуме.

[SerDiman]

C другого ПК нормально отправились файлы. Почему?

[mike 1]

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

Выполните скрипт в АВЗ:

Код:

begin   
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\BITS','Parameters_1');
BackupRegKey('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wuauserv','Parameters_2');    
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);    
end.

Внимание! Будет выполнена перезагрузка компьютера. После выполнения в папке avz появится папка Backup в которой будет еще одна папка с датой выполнения этого скрипта, в которой в свою очередь будут reg-файлы. Запакуйте их в архив и прикрепите в сообщении.

[SerDiman]

Прилагаю

[mike 1]

1. Создайте точку восстановления системы. Для этого нажмите Пуск=>Все программы=>Стандартные=>Служебные=>Восстановление системы. В окне Восстановление системы выберете "Создать точку восстановления" задайте ей имя и нажмите "Создать".

2. Отключите Антивирус и Файрвол (http://virusinfo.info/showthread.php?t=130828)

3. Скачайте и распакуйте архив из вложения. В архиве лежат 2 файла запустите оба файла от имени Администратора, затем перезагрузите компьютер и после этого сделайте новые логи AVZ.

[SerDiman]

Инструкция по созданию точки восстановления системы не та. это по моему в другой системе, в Win 7 http://netler.ru/ikt/windows7-system-restore-point.htm. Извините за это, просто хочу Вам помочь исправить инструкцию.

Новые логи прилагаю...

[mike 1]

Наконец-то получилось восстановить. Что сейчас с проблемой?

[SerDiman]

Спасибо! Система нормально работает! Проблема в Хроме, может дело в настройках и реестре, разберусь.

[mike 1]

Попробуйте обновления установить. Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[SerDiman]

Лога нет, т.е. блокнот не открывается, и такого нет файла после выполнения скрипта...значит обновления не нужны? Может я пробую переустановить все эти программы? Или как?

- - - Добавлено - - -

Я погуглил в инете и нашел очень похожую проблему http://virusinfo.info/showthread.php?t=142214 и запустил IE, там тоже не качаются файлы, ошибку выдает (см. скрин) в службах нет такой службы . как вернуть её? В opera нормально качаются файлы.

- - - Добавлено - - -

Службу "Служба базовой фильтрации" вернул http://forum.oszone.net/thread-233926.html, но проблема в скачках файлов осталась...только в IE и Chrome, в хроме пишет "Ошибка: не удалось выполнить проверку на вирусы", а в IE "Файл содержал вирус и был удален", причем я скачал файлы с официальных доверенных сайтов.

- - - Добавлено - - -

Я запустил ComboFix, и он удалил звери, теперь файлы качаются, прилагаю лог

- - - Добавлено - - -

Всё нормально качаются файлы в браузерах. Что мне дальше делать? Мне прислать карантин от ComboFix Вам? И MBAM просканировать?