[Pili]

dedd, Удалите Интернет помощник MyCentria (всё ещё есть в установке/удаление программ, судя по логам).
Попробуйте убрать или переместить (требуется вкл. показ скрытых файлов) в другое место C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\desktop(2).ini, удалите C:\Documents and Settings\Асия\Local Settings\Application Data\MyCentria
файлы
C:\t$e$m$p$.sgp
C:\t$e$m$p$.sf3 -
папки
C:\Documents and Settings\All Users\Документы\khq
C:\Documents and Settings\All Users\Документы\khr
знакомы?

Цитата dedd:

Как попробовать? В установках и удалении программ такой программы нет. В пуске ее тоже нет. Если честно, я не знаю зачем эта программа и как от нее избавиться. »

Очень странно, драйвера для виртуальных дисков есть в логах, чтобы удалить ,выполните в AVZ скрипт

Код:

begin
 DeleteFile('C:\WINDOWS\system32\Drivers\sptd.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\SPTD4285.SYS');
 DeleteService('sptd');
ExecuteSysClean;
RebootWindows(true);
end.

Можете ещё пофиксить в hijackthis строчку

Код:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

Цитата dedd:

Сделано »

Где лог AVZ?

[dedd]

Цитата Pili:

Попробуйте убрать или переместить (требуется вкл. показ скрытых файлов) в другое место C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\desktop(2).ini, удалите C:\Documents and Settings\Асия\Local Settings\Application Data\MyCentria файлы C:\t$e$m$p$.sgp C:\t$e$m$p$.sf3 - папки C:\Documents and Settings\All Users\Документы\khq C:\Documents and Settings\All Users\Документы\khr »

Все эти файлы удалены. Только в папке
C:\Documents and Settings\All Users\Общие Документы\
помимо khq и khr есть еще khs. Его оставить или удалить?

Цитата Pili:

Очень странно, драйвера для виртуальных дисков есть в логах, чтобы удалить ,выполните в AVZ скрипт »

Скрипт выполнен.

Цитата Pili:

Можете ещё пофиксить в hijackthis строчку »

Этой строчки нету.

[Pili]

Цитата dedd:

помимо khq и khr есть еще khs. Его оставить или удалить? »

Удалить
Titan Poker\casino.exe - Adware.Win32. Titan Poker - a-squared Malware Description
Попробуйте деинсталлировать эту и другие программы, связанные с игрой покер, обновите Adobe Acrobat до последней версии.
Пофиксите, если останется

Код:

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe

В реестре ключи

Цитата:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5D6FFDF2-4D9C-D203-215B-B7D1E787323B} HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FCEEDD29-CF4A-437A-4817-FE253D4BA093}

Знакомы?
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!
Драйвер sptd.sys от Daemon Tools все ещё есть.
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys');
 DeleteService('sptd');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('sptd');
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.

По логу AVZ

Цитата:

1.4 Поиск маскировки процессов и драйверов Проверка не производится, так как не установлен драйвер мониторинга AVZPM

Цитата Pili:

Включите AVZM и повторите лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) »

Скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

[dedd]

Проги покерные удалены. Адоб обновлен.

Цитата Pili:

В реестре ключи Цитата: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5D6FFDF2-4D9C-D203-215B-B7D1E787323B} HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FCEEDD29-CF4A-437A-4817-FE253D4BA093} Знакомы? »

Есть такие.

Второго две штуки:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{FCEEDD29-CF4A-437A-4817-FE253D4BA093}

Удалить второй?

[dedd]

Цитата Pili:

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u Скачайте OTCleanIt, запустите, нажмите CleanUp! »

Проделано.

Цитата Pili:

Выполните скрипт Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\System32\Drivers\sptd.sys'); DeleteService('sptd'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('sptd'); BC_Activate; ExecuteRepair(1); ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); ExecuteWizard('TSW', 1, 1, true); ExecuteWizard('BT', 1, 1, true); RebootWindows(true); end. »

(Кажется после этого скрипта в AVZ перестало выскакивать окно с символами во время загрузки перед окном приветствия)


Вроде все вложено.

[Pili]

Цитата dedd:

Проги покерные удалены »

Остались

Цитата:

2008-12-26 00:08 <DIR> --d----- c:\program files\Full Tilt Poker 2008-12-20 00:14 <DIR> --d----- c:\program files\SharkScope 2008-12-16 18:32 <DIR> --d----- C:\Poker

По логам чисто, т.е. зловредов нет.
Проверьте, есть ли у вас файлы

Цитата:

c:\windows\ping.com c:\windows\taskman.com c:\windows\winhelp.com c:\windows\winhlp32.com

Если есть, переместите их в какую-нибудь папку, запакуйте c паролем virus и пришлите мне на user15802[at]mail.ru
Можете попробовать восстановить системные файлы с помощью sfc / scannow и установить официальный WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

То, что вы прислали, это файлы с расширением exe (а не com), они легитимные от MS, удалять такие файлы не надо!

[dedd]

Цитата Pili:

2008-12-26 00:08 <DIR> --d----- c:\program files\Full Tilt Poker 2008-12-20 00:14 <DIR> --d----- c:\program files\SharkScope 2008-12-16 18:32 <DIR> --d----- C:\Poker »

Эти папки удалил.

Цитата Pili:

c:\windows\ping.com c:\windows\taskman.com c:\windows\winhelp.com c:\windows\winhlp32.com »

этих файлов нету.

Цитата Pili:

Можете попробовать восстановить системные файлы с помощью sfc / scannow »

Это как?

[Pili]

Цитата dedd:

Это как? »

Способы восстановления системы
Разное - sfc /scannow - проверка целостности системных файлов - .: [все вопросы]