[alex_sev]

Был невнимателен, извините.

1) Пробуйте запустить Combofix из безопасного режима.
2) Попробуйте сделать лог Rootkit Unhooker
3) Выполните скрипт в AVZ ( http://safezone.cc/forum/showthread.php?t=10 )

Код:

Function RegKeyResetSecurityEx(ARoot, AName : string) : boolean;
var
i : integer; 
KeyList : TStringList;
KeyName : string;                           
begin
RegKeyResetSecurity(ARoot, AName);
KeyList := TStringList.Create;
RegKeyEnumKey(ARoot, AName, KeyList);
for i := 0 to KeyList.Count-1 do
 begin
 KeyName := AName+'\'+KeyList[i];
 RegKeyResetSecurity(ARoot, KeyName);
 RegKeyResetSecurityEx(ARoot, KeyName);
 end;
KeyList.Free;
end;
Function BC_ServiceKill(AServiceName : string; AIsSvcHosted : boolean = true) : byte;
var
 i : integer;
 KeyList : TStringList;
 KeyName : string;                           
begin
 Result := 0;
 if StopService(AServiceName) then Result := Result or 1;
 if DeleteService(AServiceName,  not(AIsSvcHosted)) then Result := Result or 2;
 KeyList := TStringList.Create;
 RegKeyEnumKey('HKLM','SYSTEM', KeyList);
 for i := 0 to KeyList.Count-1 do
  if pos('controlset', LowerCase(KeyList[i])) > 0 then begin
   KeyName := 'SYSTEM\'+KeyList[i]+'\Services\'+AServiceName;                                     
   if RegKeyExistsEx('HKLM', KeyName) then begin
    Result := Result or 4;                  
    RegKeyResetSecurityEx('HKLM', KeyName);
    RegKeyDel('HKLM', KeyName);
    if RegKeyExistsEx('HKLM', KeyName) then               
     Result := Result or 8;                  
   end;
  end;                 
 if AIsSvcHosted then
  BC_DeleteSvcReg(AServiceName)
 else
  BC_DeleteSvc(AServiceName);
 KeyList.Free;
end;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 AddToLog('Удаление скрытого сервиса '+'bqsfee'+' - Результат:'+inttostr(BC_ServiceKill('bqsfee')) );
 AddToLog('Удаление скрытого сервиса '+'bursnm'+' - Результат:'+inttostr(BC_ServiceKill('bursnm')) );
 AddToLog('Удаление скрытого сервиса '+'uvgix'+' - Результат:'+inttostr(BC_ServiceKill('uvgix')) );
BC_Activate;
SaveLog(GetAVZDirectory+'avz_log.txt');
RebootWindows(true);
end.

Сделайте новые логи AVZ и RSIT прикрепите их, а также файл avz_log.txt из папки AVZ (если таковой имеется) к новому сообщению

[avokado]

1.комбоФикс начинает работать и потом появляется синий экран
2.сделала, прикрепляю
3.сделала, прикрепляю

[alex_sev]

Так намного лучше, сейчас погляжу все логи и отвечу

Итак:

Первое

1. Необходимо закрыть уязвимости, установив обновления:
   • MS08-067
   • MS08-068
   • MS09-001
2. Установить пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложным паролем)
3. Отключите автозапуск
   • Тема на форуме
   • Или воспользовавшись утилитой KK.exe с ключом -a ( http://support.kaspersky.ru/downloads/utils/kk.exe )

Кроме этого установите все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь) + все обновления для него.


Второе

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up


Третье

Пофиксите в HJT:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://webalta.ru/poisk
R3 - Default URLSearchHook is missing
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

Четвертое

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

[avokado]

alex_sev, спасибо за помощь. Я не могу найти ссылки для скачивания заплаток ОС ( п.1 Вашего поста) на тех страницах, там только общая инфа

[alivan]

Цитата avokado:

там только общая инфа »

Думаю Вы просто не разобрались.Там указаны все варианты где и как скачать, выбирайте любой удобный для Вас. Если включите обновления в своей системе, все скачается автоматом. Если только эти обновления, то нажимаете, например, на ссылку MS08-067 Видите табличку "Подвержены уязвимости". Выбираете свою систему Windows XP с пакетом обновления 3 (SP3) попадаете в Download Center. Выбираете свой язык и скачиваете ( в данном случае WindowsXP-KB958644-x86-RUS.exe).

[avokado]

да, поняла. . все сделала, прикрепляю

[avokado]

еще раз

[alex_sev]

Чисто, как самочувствие системы?

[avokado]

cпасибо за помощь.. вроде ничего так, работает.
НО! порядка 40 процессов идут. И причина создания темы была именно в этом.
Получается, что эти все процессы и должны проистекать?

[alex_sev]

Ну у меня вот 70 процессов, и ничего, кстати не вижу у Вас антивируса, немедленно скачайте и установите.

А так же:

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность
- регулярно устанавливать обновления windows и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

• Adobe Flash Player (скачайте версии и для IE, и для других браузеров)
• Adobe Reader
• Java