Блокируется доступ к сайтам практически всех производителей антивирусов. CureIt и Virus Removal Tool ничего не находят. В c:\Windows\system32 постоянно появляется файл tmp.tmp, удалить который невозможно. Заранее благодарю за помощь.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.

Запустил ComboFix при подключенном интернете. В результате проверка длилась около шести часов, выскочило пару ошибок приложения PEV.exe, процесс lsass.exe загрузил процессор на 100%. Я плюнул, перезагрузился без инета. Проверка прошла быстро. На сайты антивирусников и virus.info теперь пускает. Но в c:\windows\system32 так и появляется неудаляемый tmp.tmp. Впрочем он появляется в папках всех приложений, имеющих доступ к сети (браузер, мессенджер), и не удаляется пока приложение открыто.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
KillAll::

File::
c:\windows\system32\tmp.tmp

Driver::

Folder::

Registry::

FileLook::

DirLook::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

Вот новый отчет. Результат отрицательный. И программы с выходом в инет ломятся на 91.213.174.20:2300.

graal75, Вы живёте в Волгограде? У вас локальная сеть? Эти IP не вашего провайдера?

Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=8&act=down). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Drongo, Нет, нет и ещё раз нет. Да и не должен LSA Shell или Windows Installer лезть куда-то там на VolgoHost.
MotherBoard, Прилагаю отчет Gmer.

Лог gmer чистый

Выполните этот скрипт

• Скачайте Avenger by Swandog46 (http://swandog46.geekstogo.com/avenger2/download.php) или с зеркала (http://virusnet.info/soft/avenger.zip) и распакуйте на рабочий стол.
Запустите Avenger, скопируйте и вставьте текст ниже в окно выполнения скрипта

Begin copying here:
Drivers to disable:

Drivers to delete:
MEMSWEEP2

Files to delete:
c:\windows\system32\tmp.tmp
c:\profiles\graal\tmp.tmp
c:\windows\system32\F2.tmp

Folders to delete:

Registry values to delete:

Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2


Примечание: Скрипт создан специально для этого пользователя. Если скрипт сформирован не для вас, не используйте данный скрипт, это может повредить вашей системе.

Нажмите Execute и подтвердите, нажав Yes

Avenger автоматически выполнит следующее:
* Перезагрузит компьютер (в случае если скрипт содержит Drivers to Delete, Avenger перезагрузит компьютер дважды)
* При перезагрузке кратковременно появится черное окно, это нормально
* После перезагрузки будет создан лог файл C:\avenger.txt с результатами работы Avenger.
* Avenger также сохранит удаляемые файлы в архиве C:\avenger\backup.zip.

Скопируйте и вставьте содержимое файла c:\avenger.txt в следующее сообщение.

Повторите лог ComboFix

Вобщем толку мало. Файл c:\windows\system32\tmp.tmp появляется снова и занят процессом lsass.exe.

graal75, Знаете анекдот про китайцев, когда они взломали сервер NASA вводя пароль Мао Цзедун и на 1 000 000 попытке сервер согласился с паролем. :teeth: Мы этот файл тоже удалим таким макаром. ;)

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

KillAll::

Rootkit::
c:\windows\system32\tmp.tmp

File::
c:\windows\system32\tmp.tmp


Driver::

Folder::

Registry::

FileLook::

DirLook::



После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

[hr]

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Drongo, Анекдоты это хорошо. Только поиск этого гаденыша плавно перетекает из плоскости практической в сугубо академическую. Новые вести с полей прилагаю.

Лог gmer чистый. Попробуем удалить вот так

• Скачайте OTMoveIt3 by OldTimer (http://oldtimer.geekstogo.com/OTMoveIt3.exe) или с с зеркала - OTM by OldTimer (http://www.virusnet.info/forum/downloads.php?do=file&id=21) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe
lsass.exe

:Services

:Files
c:\windows\system32\tmp.tmp

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Правда если не удалится, кроме загрузочного Dr.Web LiveCD (http://www.freedrweb.com/livecd/) ничего не смогу посоветовать. Попробуйте удалить этот файл вручную через Unlocker 1.8.9 (http://soft.oszone.net/program/1773/Unlocker/)

Вот лог ...
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process lsass.exe killed successfully!
========== SERVICES/DRIVERS ==========
========== FILES ==========
c:\windows\system32\tmp.tmp moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: graal
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 327706 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 1814 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
Session Manager Temp folder emptied: 4586690 bytes
Session Manager Tmp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 67 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5,00 mb


OTM by OldTimer - Version 3.1.10.0 log created on 05162010_130726


Убийство этого tmp.tmp не есть сама цель. Он удаляется при загрузке с любого внешнего носителя или если прибить lsass.exe. Проблема в том, что он появляется после перезагрузки. Также такие файлы появляются в папках программ, имеющих доступ к сети, но удаляются после закрытия программ. На работу некоторых программ влияет, других - нет. Например Download master при запуске выдает ошибку и не полностью прорисовывается интерфейс, собственно это и было первым проявлением, но в то же время при загрузке виндоус в безопасном режиме DM работает как надо. Только в его папке tmp.tmp не создается вообще.
PS Вобщем сидит этот подранок в каком-то системном файле и не может напакостить, чтобы больше проявиться.

Попробуйте ещё дополнительно провериться Dr.Web LiveCD (http://www.freedrweb.com/livecd/). Просто не знаю что ещё предположить. :dont-know

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::

Rootkit::
c:\windows\system32\mnnbokae.dll

File::
c:\windows\system32\mnnbokae.dll
Driver::

Folder::

Registry::

FileLook::

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Спасибо Всем за помощь, но все решилось радикальным format c:, ввиду отсутствия времени на охоту. Есть ли какая-то принципиальная разница между проверкой Dr Web LiveCD и CureIt из-под Windows PE. Так как скачанный мной версии 5.0.3, работать отказался (данная тема на ихнем форуме детально отражена).

Думаю что разницы нет. Хотя лучше пусть ещё ребята выскажутся.

Так как скачанный мной версии 5.0.3, работать отказался »Даже в безопасном консольном режиме?

Безопасный консольный режим работает. Только я не разобрался, где отчёт о проверке посмотреть, а то результат в виде 0/0 или 0/5 не очень информативен.