[решено] Снова Autorun.inf

Pili · Отправлено: **20:19, 12-01-2009** | #21

Dokas, ок, давайте попробуем провериться другими утилитами.
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, LOP Check и Purity Check. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Dokas · Отправлено: **11:32, 13-01-2009** | #22

Просканировал, вот лог:
Malwarebytes' Anti-Malware 1.32
Версия базы данных: 1647
Windows 5.1.2600 Service Pack 3

13.01.2009 10:30:57
mbam-log-2009-01-13 (10-30-57).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 190602
Прошло времени: 1 hour(s), 15 minute(s), 34 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 4
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 2
Заражено файлов: 8

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:
C:\Adminstr\admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Server2003\Adminstr\admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\a.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

С остальными утилитками разберусь позднее, в не рабочее время.

Dokas · Отправлено: **12:25, 13-01-2009** | #23

Это лог GMER

Dokas · Отправлено: **12:41, 13-01-2009** | #24

Лог OTListIt

Dokas · Отправлено: **14:32, 13-01-2009** | #25

ComboFix 09-01-11.04 - Admin 2009-01-13 13:25:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2047.1379 [GMT 2:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\Рабочий стол\WindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
AV: Антивирус Касперского *On-access scanning disabled* (Outdated)
AV: AntiVir ProfessionalEdition *On-access scanning disabled* (Outdated)
FW: Антивирус Касперского *disabled*
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\The Bat!\thebat.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF

((((((((((((((((((((((((( Files Created from 2008-12-13 to 2009-01-13 )))))))))))))))))))))))))))))))
.

2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-13 09:10 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-10 08:40 . 2009-01-10 08:40 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-10 07:37 . 2009-01-10 07:37 <DIR> d-------- c:\program files\7-Zip
2009-01-09 14:50 . 2009-01-09 14:50 11,264 --a------ c:\windows\system32\drivers\uzixmjq0.sys
2009-01-09 12:09 . 2009-01-09 12:09 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2008-12-24 08:22 . 2008-12-24 08:22 <DIR> d-------- c:\program files\Neat Image
2008-12-19 07:36 . 2008-12-19 07:36 <DIR> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 11:28 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-01-13 11:27 574,088 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-13 11:27 42,395,168 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-13 11:27 219,884 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-01-13 11:27 1,910,816 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-01-13 11:26 --------- d-----w c:\program files\The Bat!
2009-01-13 10:12 --------- d-----w c:\program files\UpsPilot
2009-01-13 09:31 --------- d-----w c:\documents and settings\Admin\Application Data\The Bat!
2009-01-13 08:30 --------- d-----w c:\documents and settings\Admin\Application Data\Desktopicon
2009-01-10 06:40 --------- d-----w c:\program files\Java
2009-01-05 13:06 --------- d-----w c:\program files\ATS Manager
2008-12-30 12:24 --------- d-----w c:\documents and settings\Admin\Application Data\Skype
2008-12-30 09:47 --------- d-----w c:\documents and settings\Admin\Application Data\skypePM
2008-12-23 05:05 --------- d-----w c:\documents and settings\Admin\Application Data\QIP.Online
2008-12-11 05:32 --------- d-----w c:\program files\DU Meter
2008-12-10 05:47 --------- d-----w c:\program files\Unlocker
2008-12-10 05:43 --------- d-----w c:\program files\QIP.Online
2008-12-10 05:32 --------- d-----w c:\program files\QIP
2008-12-09 14:17 --------- d-----w c:\documents and settings\Admin\Application Data\Download Master
2008-11-21 06:23 --------- d-----w c:\program files\QuickTime Alternative
2008-11-21 06:23 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-11-21 06:22 --------- d-----w c:\program files\Real Alternative
2008-10-13 04:15 243 ----a-w c:\documents and settings\Admin\Application Data\fieryads.dat
2006-03-20 14:37 5,689,344 ----a-w c:\program files\mplayerc.exe
.

------- Sigcheck -------

2008-07-16 20:31 584192 371c41f777924f3ea3bfad18c6a04502 c:\windows\system32\user32.dll

2008-07-16 20:31 948224 fd5dd7fc4240e3dffb0bbd40dbabf4b1 c:\windows\system32\wininet.dll

2008-04-15 12:00 361344 eaec6ea32bdabd7622371c10b8d68a17 c:\windows\system32\drivers\tcpip.sys

2008-07-16 20:26 2165248 9c8b91ff9f5cc6c6c17a1593255f46d3 c:\windows\system32\ntkrnlpa.exe

2008-07-16 20:16 2286592 047953a8b30891f5f8f0bf68abfea339 c:\windows\system32\ntoskrnl.exe

2008-07-16 20:29 1597952 5116fc3994df129f40b9ddbccc394195 c:\windows\explorer.exe

2008-07-16 20:29 17408 17a73d46ca1d681cee05658a2f4419da c:\windows\system32\ctfmon.exe

2008-07-16 20:31 76632 ec5b872ac2bf6dea91d1de3e8b8289bf c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2007-02-26 1254912]
"VyChat.exe"="c:\program files\Vypress Chat\VyChat.exe" [2005-07-17 864856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winpower"="c:\program files\UpsPilot\Winpower.exe" [2008-08-29 114688]
"DU Meter"="c:\program files\DU Meter\DUMeter.exe" [2005-02-01 1469952]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-03-01 15872]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SmallProxy\\SmallProxyServer.exe"=
"c:\\Program Files\\Pointdev\\IDEAL Administration\\InstIA.exe"=
"c:\\Program Files\\Vypress Chat\\VyChat.exe"=
"c:\\Program Files\\SmallProxy\\SP_Config.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2008-07-16 119808]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 uzixmjq0;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzixmjq0.sys [2009-01-09 11264]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24592]
S3 avgntdw;avgntdw;\??\c:\program files\AVWin\AVGNTDW.SYS --> c:\program files\AVWin\AVGNTDW.SYS [?]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
S3 IACtrl;IA Analysing v2.0;c:\program files\Pointdev\IDEAL Administration\IACtrl.exe [2008-10-16 118784]
S4 AntiVirMailService;AntiVir Mail Security Service;"c:\program files\AVWin\AVMAILC.EXE" --> c:\program files\AVWin\AVMAILC.EXE [?]
S4 AVEService;AVE Service;"c:\program files\AVWin\AVESVC.EXE" --> c:\program files\AVWin\AVESVC.EXE [?]
S4 AVWUpSrv;AntiVir Update;"c:\program files\AVWin\AVWUPSRV.EXE" --> c:\program files\AVWin\AVWUPSRV.EXE [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184721d2-d183-11dd-8dd4-001c250cfceb}]
\SHelL\AuToPlAy\CommaNd - F:\utvv.cmd
\SHelL\AutoRun\command - F:\utvv.cmd
\SHelL\EXploRe\cOmmand - F:\utvv.cmd
\SHelL\OPeN\comMand - F:\utvv.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c4-c1d9-11dd-8dbb-001c250cfceb}]
\Shell\AutoRun\command - F:\tbubzt.exe
\Shell\explore\Command - F:\tbubzt.exe
\Shell\open\Command - F:\tbubzt.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c6-c1d9-11dd-8dbb-001c250cfceb}]
\Shell\AutoRun\command - F:\tbubzt.exe
\Shell\explore\Command - F:\tbubzt.exe
\Shell\open\Command - F:\tbubzt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Windows Sidebar]
c:\windows\system32\hidec /W c:\program files\Windows Sidebar\VAIO\Tools\REGTLIB.EXE "c:\program files\Windows Sidebar\sidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{34A19196-274E-4D75-9D30-D7A45A0A4178}]
"c:\program files\Windows Sidebar\.\regsvr32.exe" /s wlsrvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6B9228DA-9C15-419e-856C-19E768A13BDC}]
"c:\program files\Windows Sidebar\.\regsvr32.exe" /s sbdrop.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{BADA65A0-86B7-462B-B720-CE66655C73F5}]
regsvr32 /s c:\program files\Windows Sidebar\VAIO\.\vshellext.dll
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-thebat_startup - c:\program files\The Bat!\thebat.exe

.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.speedtest.net/index.php
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - c:\program files\Download Master\dmaster.exe
TCP: {10430C38-E70A-4287-B824-6A845CF1D8FD} = 192.168.0.250
TCP: {E2446440-1B11-4911-99DB-63F5C16F960A} = 172.16.0.3,193.108.241.1,193.108.241.7
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 13:28:31
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\UpsPilot\monitor.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\progra~1\UpsPilot\wpRMI.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\SmallProxy\Sp_Http.exe
c:\program files\SmallProxy\Sp_PmTcp.exe
c:\program files\SmallProxy\Sp_Socks.exe
c:\program files\Opera\opera.exe
c:\windows\system32\taskmgr.exe
c:\program files\Remote Desktop\mstsc.exe
.
**************************************************************************
.
Completion time: 2009-01-13 13:30:32 - machine was rebooted
ComboFix-quarantined-files.txt 2009-01-13 11:30:29

Pre-Run: 19*561*193*472 байт свободно
Post-Run: 19,446,792,192 байт свободно

WindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /execute /fastdetect

219

Pili · Отправлено: **15:46, 13-01-2009** | #26

Логи надо было по порядку делать, как написано в посте 21, The Bat по видимому придется переустанавливать.
У файлов

Цитата:

c:\windows\system32\user32.dll
c:\windows\system32\wininet.dll
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\explorer.exe
c:\windows\system32\ctfmon.exe
c:\windows\system32\wuauclt.exe

не сошлись сигнатуры, скорее всего вы используете какую-то сборку и не устанавливали официальный WindowsXP SP3
проверьте на virustotal.com

Цитата:

c:\windows\system32\ntkrnlpa.exe
c:\windows\system32\ntoskrnl.exe
c:\windows\system32\wininet.dll

можете проверить и другие файлы из вышеперечисленных,
SmallProxy требуется? Windows Sidebar и VistaDriveIcon можете удалить, если не сильно нужны.
У вас также остались службы
avgntdw
AntiVirMailService
AVEService
AVWUpSrv
и папка c:\program files\AVWin\
можете удалить эти службы (напр. sc stop avgntdw и sc delete avgntdw) и папку, если деинсталлировали (рекомендуется) антивирус (у вас уже есть KAV 2009)
Удалите файлы из папок C:\WINDOWS\Temp\, %userprofile%\Local Settings\Temporary Internet Files\Content.IE5\ и %userprofile%\Local Settings\Temp, очистите корзину, можете очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
c:\documents and settings\Admin\Application Data\fieryads.dat
C:\WINDOWS\System32\ezsidmv.dat
F:\utvv.cmd
F:\tbubzt.exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184721d2-d183-11dd-8dd4-001c250cfceb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c4-c1d9-11dd-8dbb-001c250cfceb}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c6-c1d9-11dd-8dbb-001c250cfceb}]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Dokas · Отправлено: **16:13, 13-01-2009** | #27

http://www.virustotal.com/ru/analisi...2b103ec41f823f
http://www.virustotal.com/ru/analisi...d6265193c9a1c3
http://www.virustotal.com/ru/analisi...0965a4801a8ce1

Dokas · Отправлено: **16:39, 13-01-2009** | #28

ComboFix 09-01-11.04 - Admin 2009-01-13 15:26:52.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2047.1287 [GMT 2:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\Рабочий стол\CFScript.txt
AV: Антивирус Касперского *On-access scanning disabled* (Outdated)
AV: AntiVir ProfessionalEdition *On-access scanning disabled* (Outdated)
FW: Антивирус Касперского *disabled*
* Created a new restore point

FILE ::
c:\documents and settings\Admin\Application Data\fieryads.dat
c:\windows\System32\ezsidmv.dat
F:\tbubzt.exe
F:\utvv.cmd
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Admin\Application Data\fieryads.dat
c:\windows\System32\ezsidmv.dat

.
((((((((((((((((((((((((( Files Created from 2008-12-13 to 2009-01-13 )))))))))))))))))))))))))))))))
.

2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes
2009-01-10 08:40 . 2009-01-10 08:40 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-10 07:37 . 2009-01-10 07:37 <DIR> d-------- c:\program files\7-Zip
2009-01-09 14:50 . 2009-01-09 14:50 11,264 --a------ c:\windows\system32\drivers\uzixmjq0.sys
2009-01-09 12:09 . 2009-01-09 12:09 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2008-12-24 08:22 . 2008-12-24 08:22 <DIR> d-------- c:\program files\Neat Image
2008-12-19 07:36 . 2008-12-19 07:36 <DIR> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 13:30 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-01-13 13:28 574,088 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-13 13:28 42,395,168 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-13 13:28 219,884 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-01-13 13:28 1,910,816 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-01-13 13:19 --------- d-----w c:\documents and settings\Admin\Application Data\Skype
2009-01-13 13:15 --------- d-----w c:\program files\Windows Sidebar
2009-01-13 12:19 --------- d-----w c:\program files\ATS Manager
2009-01-13 12:18 --------- d-----w c:\documents and settings\Admin\Application Data\skypePM
2009-01-13 11:52 --------- d-----w c:\program files\The Bat!
2009-01-13 11:52 --------- d-----w c:\documents and settings\Admin\Application Data\The Bat!
2009-01-13 10:12 --------- d-----w c:\program files\UpsPilot
2009-01-13 08:30 --------- d-----w c:\documents and settings\Admin\Application Data\Desktopicon
2009-01-10 06:40 --------- d-----w c:\program files\Java
2008-12-23 05:05 --------- d-----w c:\documents and settings\Admin\Application Data\QIP.Online
2008-12-11 05:32 --------- d-----w c:\program files\DU Meter
2008-12-10 05:47 --------- d-----w c:\program files\Unlocker
2008-12-10 05:43 --------- d-----w c:\program files\QIP.Online
2008-12-10 05:32 --------- d-----w c:\program files\QIP
2008-12-09 14:17 --------- d-----w c:\documents and settings\Admin\Application Data\Download Master
2008-11-21 06:23 --------- d-----w c:\program files\QuickTime Alternative
2008-11-21 06:23 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-11-21 06:22 --------- d-----w c:\program files\Real Alternative
2006-03-20 14:37 5,689,344 ----a-w c:\program files\mplayerc.exe
.

------- Sigcheck -------

2008-07-16 20:31 584192 371c41f777924f3ea3bfad18c6a04502 c:\windows\system32\user32.dll

2008-07-16 20:31 948224 fd5dd7fc4240e3dffb0bbd40dbabf4b1 c:\windows\system32\wininet.dll

2008-04-15 12:00 361344 eaec6ea32bdabd7622371c10b8d68a17 c:\windows\system32\drivers\tcpip.sys

2008-07-16 20:26 2165248 9c8b91ff9f5cc6c6c17a1593255f46d3 c:\windows\system32\ntkrnlpa.exe

2008-07-16 20:16 2286592 047953a8b30891f5f8f0bf68abfea339 c:\windows\system32\ntoskrnl.exe

2008-07-16 20:29 1597952 5116fc3994df129f40b9ddbccc394195 c:\windows\explorer.exe

2008-07-16 20:29 17408 17a73d46ca1d681cee05658a2f4419da c:\windows\system32\ctfmon.exe

2008-07-16 20:31 76632 ec5b872ac2bf6dea91d1de3e8b8289bf c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((( snapshot@2009-01-13_13.29.53.42 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-01-13 11:28:09 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-01-13 13:29:48 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-01-13 11:28:09 16,384 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2009-01-13 13:29:48 16,384 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
- 2009-01-13 11:28:09 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-01-13 13:29:48 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-08-07 13:27:48 145,920 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Cghtme.exe
+ 2008-08-07 13:26:56 10,240 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\cliptext.exe
+ 2008-08-07 13:27:00 61,440 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\download.exe
+ 2008-08-07 13:27:08 157,696 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\ERUNT.EXE
+ 2008-08-07 13:27:10 27,136 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\FixPath.exe
+ 2008-08-07 13:27:12 80,412 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\grep.exe
+ 2008-08-07 13:27:14 33,280 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\isadmin.exe
+ 2003-12-08 22:31:00 11,254 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\locate.com
+ 2008-08-07 13:27:16 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\LS.exe
+ 2008-08-07 13:27:16 6,656 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\MD5File.exe
+ 2008-08-07 13:27:16 38,400 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\moveex.exe
+ 2008-08-07 13:27:18 53,248 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Process.exe
+ 2008-08-07 13:27:20 16,414 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\procs.exe
+ 2008-08-07 13:27:20 61,440 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\psservice.exe
+ 2008-08-07 13:27:22 146,432 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\regedit.exe
+ 2008-08-07 13:27:22 4,080 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\beep.sys
+ 2003-06-19 09:05:04 50,620 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\command.com
+ 2008-08-21 07:45:48 2,855 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\command.PIF
+ 2008-08-07 13:27:22 2,800 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\null.sys
+ 2008-08-07 13:27:24 4,224 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\beep.sys
+ 2001-08-18 10:00:00 50,620 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\command.com
+ 2008-08-21 07:45:42 2,855 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\command.PIF
+ 2008-08-07 13:27:24 2,944 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\null.sys
+ 2008-08-07 13:27:26 8,192 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\RestartIt!.exe
+ 2008-08-07 13:27:28 31,232 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\sc.exe
+ 2008-08-07 13:27:28 98,816 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\sed.exe
+ 2008-08-07 13:27:30 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\SF.exe
+ 2008-08-07 13:27:30 19,456 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\shutdown.exe
+ 2008-08-07 13:27:36 278,016 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Swreg.exe
+ 2008-08-07 13:27:38 40,960 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\swsc.exe
+ 2008-09-16 17:17:22 204,800 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\UnRAR.exe
+ 2008-08-07 13:27:42 167,936 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\unzip.exe
+ 2008-08-07 13:27:44 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\vfind.exe
+ 2008-08-07 13:27:44 41,472 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\WINMSG.EXE
+ 2008-08-07 13:27:46 126,976 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\zip.exe
+ 2008-08-07 13:27:48 145,920 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\catchme.exe
+ 2008-10-08 21:41:44 11,932 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\DBFix.bat
+ 2008-11-05 22:58:41 964,661 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\RunThis.bat
- 2009-01-13 11:26:24 169,787 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\cookies4.dat
+ 2009-01-13 13:25:48 169,896 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\cookies4.dat
- 2009-01-13 11:26:24 3,632 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\download.dat
+ 2009-01-13 11:34:26 3,535 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\download.dat
- 2009-01-13 11:26:24 1,145,936 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\global.dat
+ 2009-01-13 13:23:26 1,144,119 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\global.dat
- 2008-12-30 09:57:46 132,096 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Skype\master6101\dyncontent\bundle.dat
+ 2009-01-13 12:28:43 132,096 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Skype\master6101\dyncontent\bundle.dat
- 2009-01-13 11:25:42 32,768 --sha-w c:\windows\system32\Server2003\Adminstr\admin\Cookies\index.dat
+ 2009-01-13 13:26:55 32,768 --sha-w c:\windows\system32\Server2003\Adminstr\admin\Cookies\index.dat
- 2009-01-13 11:26:45 4,718,592 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\NTUSER.DAT
+ 2009-01-13 13:28:14 4,345,856 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\NTUSER.DAT
- 2004-12-13 05:20:04 6,995 ----a-w c:\windows\system32\spool\drivers\w32x86\3\ssgr3en.DAT
+ 2009-01-13 12:29:41 7,014 ----a-w c:\windows\system32\spool\drivers\w32x86\3\ssgr3en.DAT
+ 2009-01-13 13:29:46 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7d4.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
"VyChat.exe"="c:\program files\Vypress Chat\VyChat.exe" [2005-07-17 864856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winpower"="c:\program files\UpsPilot\Winpower.exe" [2008-08-29 114688]
"DU Meter"="c:\program files\DU Meter\DUMeter.exe" [2005-02-01 1469952]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-03-01 15872]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SmallProxy\\SmallProxyServer.exe"=
"c:\\Program Files\\Pointdev\\IDEAL Administration\\InstIA.exe"=
"c:\\Program Files\\Vypress Chat\\VyChat.exe"=
"c:\\Program Files\\SmallProxy\\SP_Config.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2008-07-16 119808]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 uzixmjq0;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzixmjq0.sys [2009-01-09 11264]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24592]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
S3 IACtrl;IA Analysing v2.0;c:\program files\Pointdev\IDEAL Administration\IACtrl.exe [2008-10-16 118784]
S4 AntiVirMailService;AntiVir Mail Security Service;"c:\program files\AVWin\AVMAILC.EXE" --> c:\program files\AVWin\AVMAILC.EXE [?]
S4 AVEService;AVE Service;"c:\program files\AVWin\AVESVC.EXE" --> c:\program files\AVWin\AVESVC.EXE [?]
S4 AVWUpSrv;AntiVir Update;"c:\program files\AVWin\AVWUPSRV.EXE" --> c:\program files\AVWin\AVWUPSRV.EXE [?]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.speedtest.net/index.php
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - c:\program files\Download Master\dmaster.exe
TCP: {10430C38-E70A-4287-B824-6A845CF1D8FD} = 192.168.0.250
TCP: {E2446440-1B11-4911-99DB-63F5C16F960A} = 172.16.0.3,193.108.241.1,193.108.241.7
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:30:16
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(6600)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\UpsPilot\monitor.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\progra~1\UpsPilot\wpRMI.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\SmallProxy\Sp_Http.exe
c:\program files\SmallProxy\Sp_PmTcp.exe
c:\program files\SmallProxy\Sp_Socks.exe
.
**************************************************************************
.
Completion time: 2009-01-13 15:31:53 - machine was rebooted
ComboFix-quarantined-files.txt 2009-01-13 13:31:49
ComboFix2.txt 2009-01-13 11:30:34

Pre-Run: 19,349,405,696 байт свободно
Post-Run: 19,327,873,024 байт свободно

254

Pili · Отправлено: **17:43, 13-01-2009** | #29

Службы от c:\program files\AVWin\ остались, а так по логам чисто.
Проблемы ещё наблюдаются?

Dokas · Отправлено: **18:15, 13-01-2009** | #30

Цитата Pili:

Службы от c:\program files\AVWin\ остались, а так по логам чисто.
Проблемы ещё наблюдаются? »

AVWin даже папки нет, как может работать служба?
Проблемы теже, в диспетчере задач нет имен пользователей от кого запущена служба или программа. И по сети проблемы остались.
Подскажите, может это вирусы на файловом сервере?(имею ввиду проблеммы с открытие файлов из сетевых дисков). Может его посканить? Подскажите какими утилитами?