[Severny]

В HijackThis выдели значения и нажми Fix checked.

Код:

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)

В AVZ меню Файл - Выполнить скрипт. Скопируй код и нажми "Запустить".

Код:

begin
 SetServiceStart('RemoteRegistry', 4);
 SetServiceStart('wscsvc', 4);
ExecuteRepair(6);
RebootWindows(true);
end.

Ты ставил AVPTools? Удалял корректно?

[Pili]

Tekime, есть вероятность что, либо из за сборки windows, либо из за применения утилит очистки, сбились пути в реестре, либо из-за исп-ия защитных программ утилита некорректно отобразила пути некоторых служб.
Выполните ещё один скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\PLFSetI.exe','');
 QuarantineFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe','');
BC_ImportAll;
 BC_QrFile('C:\WINDOWS\C:\WINDOWS\system32\svchost.exe');
 BC_QrSvc('RemoteRegistry');
 BC_QrSvc('wscsvc');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O4 - HKLM\..\RunOnce: [ZZ_WSE] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\inf\wse.inf,WSESetting,0
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

строчки

Код:

O4 - HKUS\S-1-5-19\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Rebuild Icon Cache] REBUILDI.EXE (User 'Default user')

в принципе тоже можете пофиксить, я так понимаю, что они остались от кривой сборки (если после фикс. возникнут проблемы строчки можно вернуть hijackthis - view the list of backups

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix

[Tekime]

Сделал все что написали.
Проблема полностью не решилась. Время полной загрузки сократилось до 5 минут (с 15). Все логи прилагаю.
AVPTools не ставил. Какой-то avg ставил, удалял вроде полностью, как положено.
Лог Малвары:

Код:

Malwarebytes' Anti-Malware 1.30
Версия базы данных: 1306
Windows 5.1.2600 Service Pack 3

15.11.2008 20:02:49
mbam-log-2008-11-15 (20-02-49).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 180354
Прошло времени: 1 hour(s), 7 minute(s), 5 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 7
Заражено значений реестра: 3
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Program Files\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander Podarok Edition\Plugins\wdx\wdx_Image_Info_1.4\Images.wdx (Backdoor.Bot) -> Quarantined and deleted successfully.

[Severny]

Цитата Tekime:

Какой-то avg ставил, удалял вроде полностью, как положено. »

Ты его удалял? Если да, то выполни такой скрипт в AVZ.

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('AvgMfx86', 4);
 SetServiceStart('AvgLdx86', 4);
 DeleteService('AvgMfx86');
 DeleteService('AvgLdx86');
 DeleteFile('C:\WINDOWS\system32\avgrsstx.dll');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\30195472.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\avgldx86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\avgmfx86.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

А файрволл Comodo ты удалял?
Повтори логи.

Цитата:

Тип проверки: Полная (C:\|D:\|) Проверено объектов: 180354 Прошло времени: 1 hour(s), 7 minute(s), 5 second(s)

У тебя много занято места на HDD? Довольно продолжительное время сканирование шло.
В Диспетчере устройств перейди IDE-ATA/ATAPI-контроллеры -- Первичный или Вторичный каналы IDE. По двойному щелчку на вкладке "Дополнительные параметры" посмотри, не стоит ли режим передачи PIO на каком-либо из контроллеров.

[Tekime]

Скрипт выполнил. В реестре осталось довольно много упоминаний AVG и Comodo. Кстати, вся байда началась примерно в то время, когда Comodo удалил.
На харде занято 85% места.
На одном из Вторичных каналов IDE на устройстве 0 стоит только PIO. На остальных - DMA, если доступно.

[Severny]

Н-да, значит ты и Comodo удалил.
Выполни тогда скрипт

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 SetServiceStart('avg8wd', 4);
 SetServiceStart('Inspect', 4);
 SetServiceStart('cmdHlp', 4);
 SetServiceStart('cmdGuard', 4);
 SetServiceStart('cmdAgent', 4);
 DeleteService('avg8wd');
 DeleteService('Inspect');
 DeleteService('cmdHlp');
 DeleteService('cmdGuard');
 DeleteService('cmdAgent');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\cmdguard.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\cmdhlp.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\inspect.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\inspect.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdhlp.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\cmdguard.sys');
 DeleteFile('C:\PROGRA~1\AVG8\avgwdsvc.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteFile('C:\PROGRA~1\AVG8\avgwdsvc.exe');
BC_Activate;
RebootWindows(true);
end.

После перейди в Диспетчер устройств и удали тот контроллер, на котором PIO.
Перегрузись.
Загрузка должна пройти быстрее. Проверь, встал ли режим DMA.
(Смотри в "Текущий режим передачи")

А игры, которые используют защиту StarForce и др. ты тоже удалил?

Сделай Пуск -- Выполнить-- combofix /u -- ОК.

После всего повтори логи AVZ.

[Tekime]

Это привод. Режим PIO остался после перезагрузки.
В игры с дисков не играю, посему защиты не помню, чтоб устанавливались.
Логи выложу уже завтра.
Спасибо за старание..

[Severny]

Цитата Tekime:

посему защиты не помню, чтоб устанавливались. »

Есть такие. Будешь отключать? При необходимости можно будет вернуть обратно.

[Tekime]

Логи.
Брандмауэр начал ругаться, что AVG выключен.
В безопасном режиме такая же ситуация с диспетчером задач: имя пользователя определено только у бездействия - system. Остальные подгружаются потом.