Здравствуйте.
Возникло подозрение на троян после использования программы Teamviewer, скачанной ранее не с офсайта.
Проверил Авастом, чисто.

Вот мои логи.

Good, Привет.

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\user\locals~1\temp\mc21.tmp','');
DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. http://s55.radikal.ru/i149/1009/d2/1f7e3fa6de68.bmp, в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.
[hr]
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

Что с проблемой после выполнения скрипта?

Что с проблемой после выполнения скрипта? »
Файла не оказалось в temp. В карантине только 2 ini файла,


bcqr00001.ini

[InfectedFile]
Src=\??\c:\docume~1\user\locals~1\temp\mc21.tmp
Infected=bcqr00001.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034


bcqr00002.ini

[InfectedFile]
Src=\??\c:\docume~1\user\locals~1\temp\mc21.tmp
Infected=bcqr00002.dat
Virus=BootCleaner quarantine
Size=0
CopyStatus=C0000034


Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. »
Page Not Found

Автоматическое обновление прошло успешно.

Вроде-бы все нормально, пока сканирую комп программой Malwarebytes Anti-Malware.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5617

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27.01.2011 16:27:00
mbam-log-2011-01-27 (16-26-52).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 207288
Времени прошло: 1 часов, 2 минут, 36 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 1
Объекты реестра заражены: 8
Заражённые папки: 0
Заражённые файлы: 4

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartmenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:
(Вредоносных программ не обнаружено)

Заражённые файлы:
c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> No action taken.
c:\documents and settings\User\рабочий стол\новая папка\Файлы\algoritm2rulast.exe (Spyware.Passwords) -> No action taken.
c:\program files\irfanview\languages\RUSSIAN.DLL (Malware.Packer.Gen) -> No action taken.
c:\program files\unixtools\nc.exe (Backdoor.NetCat) -> No action taken.


P.S.
24 янв. RUSSIAN.DLL аваст детектировал как Win32:Adware-gen. Отправил файл на проверку, в меню аваста. На следующий день, после очередного обновления баз, проверил снова файл - вирусов нет. Восстановил из карантина. Видимо, ложное срабатывание было.

Good, По логам МВАМ всё хорошо. Повторите логи утилитой RSIT (http://www.virusnet.info/random/RSIT.exe) и AVZ как в первом сообщении.

Логи

смотрю

Заблокированы настройки системы Windows Update
сами блокировали?

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\docume~1\user\locals~1\temp\mc21.tmp','');
DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('c:\docume~1\user\locals~1\temp\mc21.tmp');
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(8);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

логи AVZ повторите

сами блокировали? »
Да.

Файл карантина отправил.

логи AVZ повторите
и напишите как самочувствие после скрипта

Сбросились настройки кнопок проводника. Уже вернул обратно.
http://savepic.net/441881.jpg

В меню пуск вернулись некоторые пункты, которые я отключал. А так, в общем, все нормально.

в логе чисто

Деинсталлируйте Malwarebytes' Anti-Malware .

Обновите Java до последней актуальной версии. Устаревшие версии несут в себе уязвимости, которые могут стать причиной заражения.
Для обновления Java Скачайте JavaRA здесь (http://sourceforge.net/projects/javara/files/javara/JavaRa/JavaRa.zip/download)
Распакуйте, запустите, выберите "Remove Older Versions".
Подтвердите свое желание удалить старую версию Java нажав "ДА".
Закройте IE, если Вы его еще не закрыли и нажмите "OK".
После поиска и удаления Java машины программа создаст лог с отчетом.
Далее нажмите "Search For Updates"
Выберите "Update Using Sun Java's Website" и "Open Webpage"
Осталось только скачать и установить Java.
Или воспользоваться альтернативным вариантом - после удаления старой версии скачайте и установите последнюю версию с сайта производителя.
Java Runtime Environment (JRE) (http://www.oracle.com/technetwork/java/javase/downloads/index.html)
Установить все возможные обновления продуктов Adobe (http://www.adobe.com/ru/), которые установлены на вашем компьютере или удалите их.

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- в Internet Explorer отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.

Good, Скачайте "OSAM" ("OSAM" (Online Solutions Autorun Manager) (http://www2.online-solutions.ru/ru/download_file.php?p=65580)). В меню драйверов правой кнопкой по mc21 и выберите "Turn Run Off", потом подтвердите перезагрузку. Прикрепите лог в формате HTML OSAM к следующему сообщению
и после перезагрузки сделайте плиз еще раз лог AVZ 3 скрипт

Поиском в реестре я нашел записи о mc21.tmp, которого нет в /temp, даже при просмотре скрытых системных файлов.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="\\??\\C:\\DOCUME~1\\User\\LOCALS~1\\Temp\\mc21.tmp"
"DeleteFlag"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]
"Type"=dword:00000001
"ErrorControl"=dword:00000000
"Start"=dword:00000004
"ImagePath"="\\??\\C:\\DOCUME~1\\User\\LOCALS~1\\Temp\\mc21.tmp"
"DeleteFlag"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\Enum]
"0"="Root\\LEGACY_MCHINJDRV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Что мне сделать, удалить эти записи?


поиск mc21.tmp в Total Commander по всему C:\ результатов не дал. Файла нет.

погуглил (http://www.google.com.ua/search?q=mchInjDrv%5CEnum&hl=ru&client=opera&hs=xHb&rls=ru&channel=suggest&prmd=ivns&source=lnt&tbs=lr:lang_1ru&lr=lang_ru&sa=X&ei=XWBETZOcEImDOsiWnaMC&ved=0CAcQpwUoAQ)
Наверное я этого паразита (http://row.avira.com/ru/threats/section/fulldetails/id_vir/1719/bds_hupigon.pi.2.html) ловил, но, из всех перечисленных записей реестра у меня есть только те что привел выше.

Иконки .html файлов приобрели нормальный вид, кажется после установки OSAM, нет это Opera до 11.01 обновилась. Но после нескольких перезагрузок, иконка опять слетела.

Лог OSAM прикрепил. Сейчас перезагружусь и выполню логи AVZ.

будьте добры выполнить след скрипт
begin
SysCleanAddFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc21.tmp');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. и сделать только 3 скрипт это virusinfo_syscure.zip
других больше не надопоиск mc21.tmp в Total Commander по всему C:\ результатов не дал. Файла нет. »
файла уже нет удалили... возможно и эта запись в реестре удалиться какой нить чистилкой типа ccleaner так что если есть что нить подобное перед логом сделайте...
осам удалите пожалста

Лог

По всей видимости, на данный момент с компьютером все в порядке.
Определил, из-за чего возникали сбои в работе модема при использовании программы Team Viewer, что и вызывало к меня подозрение что с программой что-то не так.
Нельзя набирать много текста в блокноте или ворде на уделенной машине. Сбой происходит после 150..200 символов, иногда больше. Это приводит к зависанию программы и сбоям в модеме (у меня так).

Всем огромное спасибо за помощь, что тратили свое время на просмотр логов. Тему можно считать решенной. Логи позже удалю, т.к. места занимают в профиле больше половины места.