Windows 7 x64. Подозрительные файлы в папке C:\Windows\System32\Filt\tmp.

[AlexTv]

На днях поставил сборку Windows 7 х64. Установил аутпост, авиру и аваст. Сегодня авира выдала подозрение на файл в папке C:\Windows\System32\Filt\tmp. Я зашел в папку, там не было того файла, на который ссылалась Авира. Через некоторое время обнаружил, что в папке на секунду появляются различные файлы расширения .vbt и сразу исчезают. Авира ругалась на многие файлы, вот например одно из сообщений:
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]' detected in file 'C:\Windows\System32\Filt\tmp\oldhslug.vbt. Action performed: Deny access.

Через некоторое время Аваст выдал подозрение Sign of "Win32:Bifrose-EQP [Trj]" has been found in "C:\Windows\System32\Filt\tmp\bp39jsya.vbt" file.

Проверил систему Cure it'ом, ничего не обнаружил. Что это за файлы такие? Логи сделал. Посмотрите, есть ли там что-то подозрительное? Спасибо.

[миднайт]

Думается что это фолс.
Spyware Doctor установлен у Вас?

[AlexTv]

Думается что это фолс.
Spyware Doctor установлен у Вас?

Нет. А что это?

[миднайт]

Программа защиты такая.
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления.
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
И подстрахуемся - сделайте лог полного сканирования MBAM

[AlexTv]

Скрипт выполнил. Обнаружил 1 уязвимость - установить Adobe Reader 9.4 или удалить старый. Но у меня установлен Adobe Reader X. все равно удалять и установить более раннюю версию? Сейчас сделаю MBAM.

[AlexTv]

Прикрепил лог MBAM

[миднайт]

В AVZ выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
QuarantineFile('c:\program files (x86)\w7elegant black pearl\resources\shared\Windows\System32\patch_mapi32.dll.exe ','');
QuarantineFile('c:\program files (x86)\w7elegant black pearl\resources\shared\program files\windows sidebar\patch_sidebar.exe.exe','');
QuarantineFile('c:\Windows\write.exe','');
BC_ImportAll;
BC_QrFile('c:\program files (x86)\w7elegant black pearl\resources\shared\Windows\System32\patch_mapi32.dll.exe ');
BC_QrFile('c:\program files (x86)\w7elegant black pearl\resources\shared\program files\windows sidebar\patch_sidebar.exe.exe');
BC_QrFile('c:\Windows\write.exe');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки

Код:

begin 
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы.

[AlexTv]

Выполнил.
Файл сохранён как 110108_161328_quarantine_4d2862f820685.zip
Размер файла 418821
MD5 15621e3ce6c6e5c0aad3bab43a717a3c

Добавлено через 4 часа 45 минут

Есть результаты? Скачал SpyWare Doctor. При установке просит удалить антивирусы и аутпост Не знаю какой вариант лучше, оставить так как есть или ставить SpyWare Doctor.

[миднайт]

Не знаю какой вариант лучше, оставить так как есть или ставить SpyWare Doctor.

оставляйте как есть, я не советовал вам его устанавливать
Файлы в карантите чистые.

[AlexTv]

оставляйте как есть, я не советовал вам его устанавливать
Файлы в карантите чистые.

Спасибо за помощь. Значит ничего страшного в папке C:\Windows\System32\Filt\tmp нет? Где-то прочитал что это папка аутпоста, не знаю, может он обновления туда скачивает?

[миднайт]

Да похоже что от аутпоста папочка, и использует он ее в своих целях. Антивирусу она просто не понравилась.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены