[Pili]

tooler, по логам зловредов не видно. Деинсталлируйте UnHackMe, Unlocker, Advanced Email Extractor, VistaDriveIcon, можете также временно деинсталлировать BestCrypt, Punto Switcher и ZoneAlarm (для проверки, потом снова поставите, если потребуется, ZA может мешать работе утилит), вместо ZA можете включить встроенный брандмауэр windows
Пофиксите в HJT строчки

Код:

O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'Default user')

проверьте файл C:\WebServers\etc\utils\Boot.exe на virustotal.com
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results - нажмите "Remove Selected". Откройте лог и скопируйте в сообщение.
Скачайте SDFix - описание тут, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования запакуйте и вложите C:\Report.txt в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2)) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
- Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
- Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, запакуйте C:\ComboFix.txt и прикрепите к сообщению.

[tooler]

спасибо за ответ, сразу возникли вопросы, - можно ли не трогать bestcript? с ним вообще никогда никаких проблем не было, а там инфа, по поводу unhack - она уже удалена, где-то её следы остались? advanced mail extractor - пишет не может открыть log., можно ли у далить их тупо deletom? Извините, если вопросы не в тему...

[Pili]

Цитата tooler:

можно ли не трогать bestcript »

Можно

Цитата tooler:

unhack - она уже удалена, где-то её следы остались? »

остались: драйвер и в автозагрузке

Цитата tooler:

advanced mail extractor - пишет не может открыть log., можно ли у далить их тупо deletom? »

Тогда останется мусор в реестре, в принципе остатки UnHackMe и Advanced Email Extractor можно почистить скриптом AVZ+пофиксить в HJT, но последнюю можно попробовать сначала установить и затем деинсталлировать или удалить чем нибудь вроде Total Uninstall или jv16 PowerTools
Удалить остатки UnHackMe не так просто
в реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
BootExecute поставить значение autocheck autochk *
в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
убрать Title = "UnHackMe Rootkit Check"
А также проверьте ветки реестра и остальные записи, связанные с UnHackMe и Partizan, посмотрите здесь
Перед тем как редактировать реестр, сохраните его
Скачайте ERUNT, установите и запустите, выберите папку для сохранения, в backup options должны бить отмечены галочками строчки "System registry" и "Current user registry", "Other open user registries" нажмите "Ok" и подтвердите создание папки.
И скрипт AVZ для удаления драйвера UnHackMe

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Partizan', 4);
 QuarantineFile('C:\WINDOWS\system32\drivers\Partizan.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\Partizan.sys');
 DeleteService('Partizan');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После удаления advanced email extractor проверить и пофиксить в HJT строчки

Код:

O8 - Extra context menu item: Advanced Email Extractor - res://c:\program files\advanced email extractor\aeemsie.dll/page.html
O8 - Extra context menu item: Scan link with AEE - res://c:\program files\advanced email extractor\aeemsie.dll/link.html
O9 - Extra button: Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - res://c:\program files\advanced email extractor\aeemsie.dll/page.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Advanced Email Extractor - {AFA7DB99-3E4D-4396-94F8-B0B135BCB472} - res://c:\program files\advanced email extractor\aeemsie.dll/page.html (file missing) (HKCU)

[tooler]

Спасибо вам огромное за помощь, Unhack удалил RegSupremomPro, до AME пока не дошло. Boot.exe пробил на virustotal.com, ничего не показало. Просканил всё Malwarebytes' Anti-Malware. Лог прилагаю. Опять же, кроме winrara все остальные проги из лога просто засторены и ни разу не запускались. Перехожу к сканированию SDFix.

[tooler]

Просканил SDFix. Скидываю репорт. От себя отмечу, что процесс входа в safe mode очень нездоровый, ибо если раньше (давно) входил сразу, сейчас чёрный экран длится более 5 минут, правда, потом всё же входит. + в эксплорере пропали иконки от дисков С и Е. осталось в отличие от дисков F и Z лишь изображения "неопознанных" файлов. Это нормально? Перехожу к ComboFix...

[tooler]

Ну вот, скан Combofixom закончен. Кстати, при запуске прога сказала что есть обновление и предложила обновиться, я вписался, вроде всё прокатило, пришлось только ещё раз хр шный файл продрагдропить. Скан приаттачиваю. из побочных -слетела картинка рабочего стола, попробую перегрузиться, думаю, должна реанимироваться. Вроде сканы теперь все. Что скажете? Из явных косяков - очень долгая загрузка в сейф мод. Заранее огромное спасибо за помощь!

P.S. Обнаружил на рабочем столе директорию с Касперским тулом, которым я перед всем этим сканил. 2Гига. Можно их просто дилитом грохануть или тоже как-нибудь хитро стирать надо?

С уважением,
tooler

[tooler]

Нет. ну это ж надо!!!!!!!!!!!! Только что, после двух суток скана антивирями и всем тем, что вы посоветовали, потыкал мышом по эксплореру, сначало возник попап алерт с кривозяброй в тексте, но шапка была "Remote server failed", после этого как и до всего этого - тормозняк, включаю хп эксплорер, здравствуй 3,14 - эксплорер.экзэ жрёт 50% проца (((((((((((((((((((((
Хелп, плиз! Причём это при том количестве всего, что я из автозагруза и регистра снёс...
Насчёт ремоут сервера - мне его каспер как потенциально опасное по нарисовал, я его и снёс целиком (там директория вроде в progr files была то ли ремоут админ то ли ещё как, 4 файла помню вроде -лечить нельзя удалил... )

[Pili]

Цитата tooler:

Скан приаттачиваю. из побочных - слетела картинка рабочего стола, »

Так и должно быть, SDFix д.б. возвратить раб. стол к стандартному, VistaDriveIcon удалили и перезагрузились до запуска SDFix? Удалите advanced email extractor, выполните скрипт из поста 4 и пофиксите строчки, можете также пофиксить строчку

Цитата:

O8 -: Отправить в 'Ссылки Интернета' - C:\WINDOWS\system\sendurl.htm

Цитата tooler:

Обнаружил на рабочем столе директорию с Касперским тулом »

Запустить AVPTool, нажать на крестик - предложит деинсталлировать.

Цитата tooler:

директория вроде в progr files была то ли ремоут админ то ли ещё как, 4 файла помню вроде -лечить нельзя удалил... ) »

Radmin удалять надо через установку/удаление программ
Проверьте C:\WINDOWS\inf\UpdateUSB.exe на virustotal.com
Откройте в блокноте C:\WINDOWS\winstart.bat, скопируйте содержимое в сообщение,
Скопируйте текст ниже к блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::
C:\WINDOWS\winstart.bat
C:\WINDOWS\system32\drivers\Partizan.sys
Folder::
c:\program files\advanced email extractor
Driver::
Partizan

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение

Не совпали сигнатуры некоторых системных файлов, выполните sfc /scannow или выполните восстановление Windows XP - способ 2, потребуется установочный диск.
Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, скопируйте текст из файлов log.txt и info.txt в следующее сообщение или запакуйте эти файлы и прикрепите архив.

[tooler]

Добрый день!

Advanced email extractor удалил с помощью диспетчера задач RegSuprimom + оттуда же в реестре. потом пофиксил как сказали, остался ощмёток ярлыка на рабстоле, но в прогр файл больше нету. Каспера тоже слил, спасибо, а вот дальше проблема - Проверьте C:\WINDOWS\inf\UpdateUSB.exe на virustotal.com
Нет такой директории видимой вообще и плюс врубил поиск на этот файл - ничего. Подскажете, что с этим делать? Зар спасибо!

C:\WINDOWS\winstart.bat тоже, кстати не вижу