[Pili]

ИС_, Здравствуйте. Логи вложите в сообщение, согласно правилам

[ИС_]

Готово. Explorer похоже выводит какая-то служба т.к при сохраниие измений в MsConfig сообщает о том, что нет прав для запуска (или выключения какой-то службы).

[Pili]

ИС_, Деинсталлируйте bitaccelerator, а также SiSoftware Sandra, AMD64 CPU Assistant, включите все то, что отключили через MSConfig
G:\Doomsday\HoI2.exe - в планировщие задач нужен?
Удалите остатки symantec и временно удалите касперского, воспользутейс утилитами
Norton Removal Tool
KAVremover9.zip
см. доп.
Чистка системы после некорректного удаления антивируса
Инструкции и утилиты для полного удаления остатков антивирусных ...

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\Program Files\bitaccelerator\bitaccelerator.*','');
 QuarantineFile('D:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('D:\WINDOWS\system32\DRIVERS\SymIM.sys','');
 DeleteFile('D:\WINDOWS\system32\DRIVERS\SymIM.sys');
 DeleteFile('D:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('D:\Program Files\bitaccelerator\bitaccelerator.*');
DeleteFileMask('D:\Program Files\bitaccelerator\', '*.*', true);
DeleteDirectory('D:\Program Files\bitaccelerator');
DeleteFileMask('%Tmp%', '*.*', true);
 DeleteService('tcpsr');
 DeleteService('SymIMMP');
 DeleteService('SymIM');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('SymIMMP');
 BC_DeleteSvc('SymIM');
BC_Activate;
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{44990301-3C9D-426D-81DF-AAB636FA4345}');
RebootWindows(true);
end.

Пофиксите

Код:

R3 - URLSearchHook: (no name) -  - (no file)
O3 - Toolbar: (no name) - {893AE660-AE80-4dd0-9959-24D2337C04E8} - (no file)

Проверьте на virustotal.com

Цитата:

H:\Program Files\Java-emulator\JadInvoker\MidpInvoker.dll D:\WINDOWS\System32\Drivers\Ext2FS.SYS

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь и здесь

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[ИС_]

Пока сходил на visrutotal.com.
Про H:\Program Files\Java-emulator\JadInvoker\MidpInvoker.dll говорит:

Код:

MD5: 09554c4819eeec0e55a1c325701bfe32 
First received: 2007.01.26 11:11:42 (CET) 
Дата: 2008.10.21 04:09:35 (CET) [>113D] 
Результаты: 1/36 
Permalink: analisis/c266e7cb07e7086010aa2adff39e15e3 
А D:\WINDOWS\System32\Drivers\Ext2FS.SYS это драйвер, чтобы можно было видеть ext2 диски из под винды.
Вот что говорит:
Файл Ext2FS.SYS получен 2009.02.11 16:06:17 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО 


Результат: 0/39 (0%)
Загрузка информации... 
Ваш файл в очереди на позиции: ___.
Ожидаемое время старта между ___ и ___ .
Не закрывайте окно до окончания проверки. 
Сканер, который обрабатывает Ваш файл, остановлен в данный момент. Производится попытка восстановить Ваши результаты, подождите несколько секунд.
Если вы ждете более пяти минут, попробуйте прислать файл еще раз. 
Ваш файл проверяется VirusTotal в данный момент,
результаты отображаются по мере генерации. 
 Форматированные Печать результатов  
Ваш файл просрочен или не существует. 
ервис остановлен в данный момент, Ваш файл ожидает проверки (позиция: ) через неопределенное время.

Вы можете подождать ответа (страница автоматически перезагрузится) или написать ваш e-mail адрес ниже и нажать "запросить" для получения оповещения об окончании проверки. 
 Email адрес:  
  

Антивирус Версия Обновление Результат 
a-squared 4.0.0.93 2009.02.11 - 
AhnLab-V3 5.0.0.2 2009.02.11 - 
AntiVir 7.9.0.76 2009.02.11 - 
Authentium 5.1.0.4 2009.02.11 - 
Avast 4.8.1335.0 2009.02.10 - 
AVG 8.0.0.229 2009.02.11 - 
BitDefender 7.2 2009.02.11 - 
CAT-QuickHeal 10.00 2009.02.11 - 
ClamAV 0.94.1 2009.02.11 - 
Comodo 974 2009.02.11 - 
DrWeb 4.44.0.09170 2009.02.11 - 
eSafe 7.0.17.0 2009.02.11 - 
eTrust-Vet 31.6.6350 2009.02.11 - 
F-Prot 4.4.4.56 2009.02.11 - 
F-Secure 8.0.14470.0 2009.02.11 - 
Fortinet 3.117.0.0 2009.02.11 - 
GData 19 2009.02.11 - 
Ikarus T3.1.1.45.0 2009.02.11 - 
K7AntiVirus 7.10.627 2009.02.11 - 
Kaspersky 7.0.0.125 2009.02.11 - 
McAfee 5522 2009.02.10 - 
McAfee+Artemis 5522 2009.02.10 - 
Microsoft 1.4306 2009.02.11 - 
NOD32 3846 2009.02.11 - 
Norman 6.00.02 2009.02.11 - 
nProtect 2009.1.8.0 2009.02.11 - 
Panda 10.0.0.10 2009.02.11 - 
PCTools 4.4.2.0 2009.02.11 - 
Prevx1 V2 2009.02.11 - 
Rising 21.16.22.00 2009.02.11 - 
SecureWeb-Gateway 6.7.6 2009.02.11 - 
Sophos 4.38.0 2009.02.11 - 
Sunbelt 3.2.1851.2 2009.02.11 - 
Symantec 10 2009.02.11 - 
TheHacker 6.3.1.85.252 2009.02.11 - 
TrendMicro 8.700.0.1004 2009.02.11 - 
VBA32 3.12.8.12 2009.02.11 - 
ViRobot 2009.2.11.1600 2009.02.11 - 
VirusBuster 4.5.11.0 2009.02.10 - 
Дополнительная информация 
File size: 37840 bytes 
MD5...: 013d5f2774a2173a4f1cb00a68a812c1 
SHA1..: 24bf1392bfbc2ebd2b65d3c0ef39c78f27e13130 
SHA256: 82e3afa0a781bfdd3f979d3e5cf0ceb9d9e20c8bdd3e51a70e86381bbeeb7c27 
SHA512: ea69bec5ec5081811bfeb52df99ce21608de4ff019525876623214119b9535b5
7f7a28f135a28ec5eda2c3e6578c0853c18bd9e5e5f7f97c00d9a31876152ca5
 
ssdeep: 768:P2z8XS89UElUXDOs9z1ZnOMt5I966/AxvqNeP:PpXSyUXDOsl1ZRDhD
 
PEiD..: - 
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x332
timedatestamp.....: 0x4010dc90 (Fri Jan 23 08:34:24 2004)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x2a0 0x7e9c 0x7ea0 6.51 5091d8495517c9105e02533ac51979bc
.rdata 0x8140 0x1d4 0x1e0 3.74 e1b93639d1a8d443e6fc83e7ea087ca4
.data 0x8320 0x30 0x40 2.09 b05313fb013563ea57bcdf6392b6be29
INIT 0x8360 0x400 0x400 5.10 5e702b368f2c4ebedff260b6a9c61c56
.reloc 0x8760 0x66a 0x680 5.88 3c73ebf46439093564f0be8f1e3ee6d3

( 2 imports ) 
> ntoskrnl.exe: ExInitializeResourceLite, RtlInitUnicodeString, DbgPrint, KeLeaveCriticalRegion, IofCompleteRequest, IoSetTopLevelIrp, IoGetTopLevelIrp, KeEnterCriticalRegion, _except_handler3, ExQueueWorkItem, RtlAssert, FsRtlIsNtstatusExpected, MmMapLockedPages, IoIsOperationSynchronous, KeWaitForSingleObject, IoRegisterFileSystem, IoCreateDevice, KeInitializeEvent, IoDeleteDevice, ExDeleteResourceLite, CcInitializeCacheMap, IoCreateStreamFileObject, ExReleaseResourceForThreadLite, KeGetCurrentThread, ExAcquireResourceExclusiveLite, ExFreePool, ExAllocatePoolWithTag, IoBuildSynchronousFsdRequest, CcPinRead, CcUnpinData, _aullrem, _aulldiv, RtlCompareMemory, _allmul, IofCallDriver, IoBuildDeviceIoControlRequest
> HAL.dll: KeGetCurrentIrql

( 0 exports )

Сейчас буду выполнять другое.

[Pili]

Ext2FS.SYS знаю, что д.б. легитимный, просто по логам он увас был без цифровой подписи. На MidpInvoker.dll какой антивирус ругается?

[ИС_]

Ругается H:\Program Files\Java-emulator\JadInvoker\MidpInvoker.dll eSafe - - Suspicious File
Остальные пункты выполнить не могу т.к в винде постоянно перезапускается explorer.exe. Что делать? Есть ли альтернативная оболчка?

[brt]

ИС_, попробуй почистить HDD с помощью Dr.Web LiveCD !
Dr.Web LiveCD - работает с диска, и проверяет на вирусы HDD без загрузки винды!
http://www.freedrweb.com/livecd/

[Pili]

ИС_, приведенный в посте 4 скрипт не должен был вызвать проблем с explorer. Может какие-нибудь другие скрипты выполняли с сайта ЛК? (поэтому не рекомендуется лечиться сразу в нескольких местах). Какие пункты удалось выполнить, кроме проверки файлов на VT? Загружается ли безопасный режим? В безопасном режиме появляется так же проблема с explorer?

Цитата ИС_:

Есть ли альтернативная оболчка? »

Far Manager
Можете попробовать распаковать cureit, загрузиться с CD и запустить _start.exe из распакованного cureit (желательно запускать с CD или флешки) или использовать Dr.Web LiveCD, но в нем базы обновляются реже.
Ещё можете установить ОС поверх.
Как выполнить обновление (переустановку) Microsoft Windows XP
Способ 2. Восстановление Windows XP при загрузке компьютера с компакт-диска Windows XP

[ИС_]

Цитата Pili:

ИС_, приведенный в посте 4 скрипт не должен был вызвать проблем с explorer. Может какие-нибудь другие скрипты выполняли с сайта ЛК? (поэтому не рекомендуется лечиться сразу в нескольких местах). Какие пункты удалось выполнить, кроме проверки файлов на VT? Загружается ли безопасный режим? В безопасном режиме появляется так же проблема с explorer? »

Эта проблема появилась, еще до выполнения скрита т.е в этом виноват не скрипт. Скрипты выполнял только те, что советовали на вашем сайте и на форуме касперского.
Сейчас нахожу в другой ОС. В ней уже нельзя создовать файлы (ничего не происходит) и папки (говорит, что не найден указанный путь) на рабочем столе. Т.е в лучшем случае надо сносить полностью 2 винды с форматированием или ходя бы заблокировать диск с инфицированной виндой.
И еще, меня о чень интересует пункт 5) В папке Windowns\Temp создал кучу папок с именами типа █v9=o".°═░ с датами из будующего. Папку и содержимое не удалаются. Чем удалить?