Здравствуйте. Такая же проблема была неделю назад... Еще нет доступа к некоторым временным файлам, нет возможности их удалить.

Tatik1997, Привет.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ef51351e.exe,\\?\globalroot\systemroot \system32\bELKIhK.exe,


• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\ef51351e.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\belkihk.exe','');
DeleteFile('c:\windows\system32\ef51351e.exe');
DeleteFile('\\?\globalroot\systemroot\system32\belkihk.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

• Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Повторите лог AVZ.

Что с проблемой после выполнения скрипта?

Вот информация, полученная по отправленному карантину:

"belkihk.exe - Backdoor.Win32.Shiz.jl

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.

ef51351e.exe

Файл в процессе обработки".

Прикрепляю новые логи.

Доступ к сайтам после выполнения скрипта в avz появился.

Существует еще одна проблема с IE. Периодически автоматически начинают отрываться окна с ссылкой на файл из папки system32 с расширением dll.

Очистите временные файлы.

Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1)
- скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=1&act=down), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


• Скачайте OTM by OldTimer (http://www.virusnet.info/forum/downloads.php?do=file&id=21) и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\YqJrf2N.exe
C:\WINDOWS\system32\R8qQvGw.exe
C:\WINDOWS\system32\VgPasnd.exe
C:\WINDOWS\system32\90apepk.exe
C:\Program Files\Common Files\keylog.txt

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Не удается удалить все временные файлы.

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\WINDOWS\system32\YqJrf2N.exe moved successfully.
C:\WINDOWS\system32\R8qQvGw.exe moved successfully.
C:\WINDOWS\system32\VgPasnd.exe moved successfully.
C:\WINDOWS\system32\90apepk.exe moved successfully.
C:\Program Files\Common Files\keylog.txt moved successfully.
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Toma
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 18619669 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 19061 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33224 bytes
RecycleBin emptied: 16384 bytes

Total Files Cleaned = 18,00 mb


OTM by OldTimer - Version 3.1.12.0 log created on 07072010_210500

Files moved on Reboot...
C:\Documents and Settings\Toma\Local Settings\Temporary Internet Files\Content.IE5\SPEN8P6R\index[1].htm moved successfully.
C:\Documents and Settings\Toma\Local Settings\Temporary Internet Files\Content.IE5\LCKBHP0L\erle[2].htm moved successfully.
C:\Documents and Settings\Toma\Local Settings\Temporary Internet Files\Content.IE5\7FHFF18W\showthread[1].htm moved successfully.

Tatik1997, Ну что ж, если проблемы решены. Запустите ещё раз OTMoveIt! нажмите кнопку CleanUp! и перезагрузите компьютер.

Пока вроде решена, только надолго ли... Подозрительные временные файлы все же остались на компьютере.

Ничего страшного. Это временные файлы, удалите в другой раз. Это не критично.

Отмечайте тему решённой.