[Pili]

Master-ok, c помощью cureit и AVPTool проверялись? AVZ запускали с правами администратора (прав. кн. мыши - запустить от администратора)? Могли бы и логи DSS сделать по правилам. Деинсталлируйте Trojan Remover

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению.

Попробуйте сделать логи AVZ, запустив его с правами администратора.

[iskander-k]

А сюда на онлайн проверку заходили ?

[Master-ok]

Malwarebytes' Anti-Malware после быстрой проверки (полная после ни чего не дала):
Malwarebytes' Anti-Malware 1.28
Версия базы данных: 1141
Windows 6.0.6001 Service Pack 1

11.09.2008 18:38:52
mbam-log-2008-09-11 (18-38-36).txt

Тип проверки: Быстрая
Проверено объектов: 39700
Прошло времени: 2 minute(s), 23 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 5
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 1

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> No action taken.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\Program Files (x86)\WebMoney Advisor\tbhelper.dll (Trojan.BHO) -> No action taken.

ComboFix не поддерживает операционку
AVZ4 (как я писал) запускается, но при выполнении 3-го скрипта зависает и вылетает
cureit : mycentriainfobar.dll c:\program files (x86)\mycentria\infobar

[Pili]

Один только лог HJT малоинформативен, нужны др. логи

Цитата Master-ok:

ComboFix не поддерживает операционку »

Combofix and SDFix for Vista ? - MajorGeeks Support Forums
Vista Cleaning Procedure - MajorGeeks Support Forums
A guide and tutorial on using ComboFix

Цитата Master-ok:

No action taken »

Вы кн. "Remove Selected" нажимали? Или сначала лог открыли, а потом "Remove Selected" нажали?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked"

Код:

O2 - BHO: MyCentria Internet Mate v1.9 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.3.7.cab

Остановите и удалите сервис appdrvrem01 - пуск - выполнить sc delete appdrvrem01 и файл C:\Windows\System32\appdrvrem01.exe (или можете перенести в др. место)
или выполните в AVZ скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\System32\appdrvrem01.exe','');
 QuarantineFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 DeleteFile('C:\Windows\System32\appdrvrem01.exe');
 DeleteFile('C:\PROGRA~2\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DeleteService('appdrvrem01');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Попробуйте отключить антивирус (или деинсталлировать) и др. защитные программы и сделать логи AVZ и DSS

[Master-ok]

"Remove Selected" нажал сразу после сканирования
"Fix Checked" сделал, вот только не пойму: MyCentria Internet Mate v1.9 это ж вроде надстройка IE ...
А AVZ не за работал ни при каких уловиях. Останавливается после (красным пишет протоколе) Функция user32.dll:DefWindowProcW(151) перехвачена, метод ProcAddressHijack.GetProcAddress->77...

[Pili]

Цитата Master-ok:

вот только не пойму: MyCentria Internet Mate v1.9 это ж вроде надстройка IE ... »

http://www.greatis.com/appdata/d/m/mycent~1.dll.htm

Попробуйте запустить combofix в безопасном режиме.
Попробуйте сделать логи так
AVZ - файл - исследование системы - пуск - сохранить протокол
Если не получится, то в безопасном режиме
AVZ - файл - исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - пуск - сохранить протокол
Запакуйте лог и прикрепите.
Логи DSS тоже не делаются? В таком случае скачайте RSIT и сохраните на рабочий стол, закройте все программы, включая антивирусные программы и firewall, запустите RSIT.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла log.txt и info.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из log.txt и info.txt и вставьте (Ctrl+V) скопированный текст из log.txt и info.txt в окно вашего сообщения, если логи окажутся большими, запакуйте файлы log.txt и info.txt и прикрепите к сообщению

[Master-ok]

Combfix не работает

[Pili]

Master-ok, В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('appdrv01');
 SetServiceStart('appdrv01', 4);
 QuarantineFile('C:\Windows\System32\Drivers\appdrv01.sys','');
 QuarantineFile('C:\Windows\VMix.dll','');
 DeleteService('appdrv01');
 DeleteFile('C:\Windows\System32\Drivers\appdrv01.sys');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('appdrv01');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему
Повторите логи AVZ

[Master-ok]

Вообщем скрипт не выполнился - программа вывалилась с ошибкой (см. выше). Удалил все в ручную. После перезагрузки выкинуло ошибку на запуск программы управления звуковым кодеком СМ6501 (панель в трее тоже не заработала).
Что интересно, при удалении VMix.dll винда говорила о том, что используется другим приложением. Но удалить попыталась, при этом выскочил Symayntec. Были обнаружены файлы как описывал в топе с IRC Trojan