[zirreX]

В логах ничего подозрительного.

Сделайте лог полного сканирования MBAM.

[a.king61]

To zirreX
Извиняюсь за долгое отсутствие, был в командировке.... Тема актуальности не потеряла...
Лог полного сканирования MBAM, а так же на всякий случай лог ComboFix и SophosAntiRootkit.

[iskander-k]

Удалите то что нашел МБАМ.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение.

Код:

KillAll::

File::
c:\windows\system32\5AA1.tmp
c:\windows\system32\78A0.tmp
c:\windows\SysWow64\tmpD8A05.FOT
c:\windows\system32\5EDF.tmp
c:\windows\system32\25FF.tmp

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.



• Cкачайте Gmer или с зеркала. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

[a.king61]

Логи ComboFix и Gmer
p.s.
1. Gmer на моей системе (WIN7x64) работает некорректно - не хочет сканировать сервисы
2. В папке %TEMP%\ папка с названием "WPDNSE" так же появляется после каждой перезагрузки и дополнительно появились скрытые папки Cookies, History, Temporary Internet Files и неудаляемый файл kls2BA4.tmp, заблокированный KIS2010 - откуда это ? Правда сообщение Центра поддержки о НЕВКЛЮЧЕННОМ антивирусе исчезло и пока не появляется...

[SolarSpark]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\5AA1.tmp
c:\windows\system32\78A0.tmp
c:\windows\SysWow64\tmpD8A05.FOT
c:\windows\SysWow64\tmpBDA05.FOT
c:\windows\SysWow64\tmp86B05.FOT
c:\windows\SysWow64\tmp6BB05.FOT
c:\windows\SysWow64\tmp24C05.FOT
c:\windows\SysWow64\tmp01A05.FOT
c:\windows\system32\5EDF.tmp
c:\windows\system32\25FF.tmp

Driver::
MEMSWEEP2

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MEMSWEEP2]
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[a.king61]

Все сделал. Лог ComboFix
p.s:В папке %TEMP%\ очередное пополнение - вдобавок к перечисленным в моем предыдущем сообщении появились еще заблокированные файлы -
1. ~DFE62F1BF0492786AC.TMP (заблокирован программой C:\Program Files (x86)\Winstep\Nexus.exe)
2. FXSAPIDebugLogFile.txt (заблокирован программой С:\Windows\Explorer.exe)
3. dat3BAB.tmp (заблокирован программой С:\Program Files\Windows Sidebar\sidebar.exe по 2-м дескрипторам)
удаляться так же не хотят...

[SolarSpark]

В логе чисто
Какие признаки вирусной активности еще наблюдаются вами?
уберите sidebar.exe из автозагрузки или удалите совсем-никакой смысловой нагрузки сей бар не несет
рекомендую при использовании FF bспользовать плагин NoScript
Папка WPDNSE, упорно создаваемая после рестарта - от Windows Media Player, вполне легитимная

[a.king61]

Спасибо

Цитата maniy77:

Папка WPDNSE, упорно создаваемая после рестарта - от Windows Media Player, вполне легитимная »

Вот хорошо - успокоил наконец-то

Цитата maniy77:

рекомендую при использовании FF использовать плагин NoScript »

Он здорово ограничивает функциональность сайтов, но все же попробую

Цитата maniy77:

уберите sidebar.exe из автозагрузки или удалите совсем-никакой смысловой нагрузки сей бар не несет »

Нужен он мне - в нем установлены системный монитор, монитор сети и панелька быстрого запуска, в которую собраны все нужные проги

Цитата maniy77:

Какие признаки вирусной активности еще наблюдаются вами? »

Я писал в первом посте
- Нагрузка на ЦП держится постоянно на уровне 20 - 45 % (даже когда все приложения выключены, раньше было в пределах 2-7%)
- Суммарная память, занятая процессами svchost.exe в пределах 150-200 Mb.
- Появилась куча открытых локальных портов с непонятными локальными адресами типа " :: " , " ::1 " и "0.0.0.0" ,
- Постоянно, в небольших объемах идет исходящий сетевой трафик (по монитору сети и по сетевому монитору KIS, хотя видимого сетевого процесса на вкладке "сетевая активность" нет) - так же не должно быть, да и раньше такого не было.
- Компьютер иногда перестает реагировать на любые действия мыши и клавиатуры в течении 5-10 сек., потом все восстанавливается - это смущает больше всего, на зависание не похоже....
- Непонятные заблокированные и скрытые файлы в папке %TEMP%
- Почему-то перестал открываться Центр обновления Windows

[SolarSpark]

Цитата a.king61:

Я писал в первом посте »

я надеялась на положительную динамику

пуск - выполнить - cmd - ввести в командную строку Tasklist /SVC > c:\Tasklist.txt
нажать enter
c:\Tasklist.txt из корня диска С прикрепите к сообщению

найдите все ваши заблокированные файлы, выпишите их сюда с указанием полного пути к каждому файлу, а также проверьте их на http://www.virustotal.com
Ссылки на проверку файлов запостите в своем следующем сообщении

Цитата iskander-k:

Удалите то что нашел МБАМ. »

а вы файлы в MBAM удаляли? повторите лог