[Dump]

Цитата Pili:

с помощью kidokiller по инструкции проверяли систему? Cureit находил win32.sector (или AVPTool win32.sality)? »

Да всё по инструкции, за исключением того, что от сети не отключал. CureIt находил win32.sector !!!

AVZ запускал в графическом режиме (если это имеется ввиду) ! Вот именно после выполнения второго скрипта в логах ничего не появляется!!!!

[Pili]

Цитата Dump:

CureIt находил win32.sector »

Это плохо, очень. Вам придется сначала провериться по методу лечения системы от файловых вирусов, и только затем делать логи.
Т.к. вирус живучий, после лечения рекомендуется не запускать exe файлы из источников, которые не проверялись антивирусом, Trend Micro OfficeScan по какой-то причине не знает о вашем экземпляре файлового вируса, поэтому рекомендую несколько зараженных файлов отправить в вирлаб Trend Micro или использовать другой антивирус.

[Dump]

Malwarebytes' Anti-Malware 1.34
Версия базы данных: 1749
Windows 5.1.2600 Service Pack 2

26.03.2009 15:44:33
mbam-log-2009-03-26 (15-44-33).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 157388
Прошло времени: 38 minute(s), 52 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 1
Заражено значений реестра: 0
Заражено параметров реестра: 4
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpap er (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Not selected for removal.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\explorer.exe.de.bat (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

[Dump]

Цитата Pili:

Это плохо, очень. Вам придется сначала провериться по методу лечения системы от файловых вирусов »

Тогда тему пока можно прикрыть, буду ждать пока компы мне вышлют.
По видимому решением будет переустановка образа

[Pili]

Dump, зачем переустанавливать? Загрузиться с CD и проверить тем же cureit и затем, на всякий случай, APVTool.
По логу AVZ подозрительные c:\windows\system32\dwrcst.exe - создан: 25.03.2009 14:33:35, c:\windows\sminst\scheduler.exe изменен: 16.03.2009 10:27:20, с некоторыми другими файлами то же самое, вероятно заражены win32.sector, после проверки утилитами можно проверить такие файлы на virustotal.com
Если есть общие файловые ресурсы, их также следует проверить.

[Dump]

жду компы...

[thyrex]

Добрался наконец до своей почты. C:\WINDOWS\system32\gifsury.dll из вашего карантина мой KIS2009 определил как Net-Worm.Win32.Kido.ih