[Pili]

JinTropin, Outpost Firewall устанавливали? Если да, деинсталлируйте полностью, воспользуйтесь дополнительно Инструкции по расширенной деинсталляции и переустановке Outpost Firewall, деинсталлируйте FlashGet и jre6 (C:\Program Files\Java\jre6), потом JRE можно будет обновить отсюда, winpcap сами ставили? Если в нем необходимости нет, также деинсталлируйте.

В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL','');
 QuarantineFile('C:\PROGRA~1\YETISP~1\IEBUTT~1.DLL','');
 QuarantineFile('C:\Windows\RUNXMLPL.exe','');
 QuarantineFile('C:\WINDOWS\system32\eLock2FSCTLDriver.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\VFILT.sys','');
 QuarantineFile('C:\WINDOWS\Temp\NAV\IWP\App\IDSDefs\SymIDSCo.sys','');
 QuarantineFile('E:\PATCH\SI15CI.SYS','');
 QuarantineFile('C:\WINDOWS\system32\drivers\PSSdk23.sys','');
 QuarantineFile('OutpostFirewall.sys','');
 DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
 BC_DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Цитата:

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O24 - Desktop Component 0: (no name) - D:\a.bmp

повторите логи
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола в текстовом формате, заархивируйте полученный файл протокола в архив и прикрепите к сообщению.

[JinTropin]

Всё выше перечисленное сделал... Письмо вам на E-mail выслал, жду с нетерпением ответа...

[Pili]

JinTropin, мусор от Outpost остался видимо только в реестре, вы использовали Инструкции по расширенной деинсталляции и переустановке Outpost Firewall? Можно в принципе удалить мусор скриптом, если хотите.
H@tKeysH@@k.DLL - Tool.Hatkeys по DrWeb (удален), странно, что cureit его пропустил, если вы им сканировали систему. остальные файлы чистые по VT, PSSdk23.sys, SI15CI.SYS, SymIDSCo.sys в карантин не попали, от них тоже остался мусор в реестре, тоже можно почистить скриптом. YETISPORTS тоже можно деинсталлировать, Java 6 Family осталось в установленных приложениях... по логам у вас есть ConnectionServices, удалите его.
Oustpost чистим скриптом?

[JinTropin]

Outpost Firewall чистил скриптом, по инструкции не получилось. Хотел бы спросить как всё что вы описали, что осталось почистить скриптом???

[Pili]

JinTropin, деинсталлируйте Navicat MySQL (C:\Program Files\PremiumSoft\Navicat MySQL), уберите из планировщика задание l2greed.job
Скрипт по удалению outpost (на ваш страх и риск) + мусора, из тех файлов, которых нет физически , создайте точку восстановления на всякий случай или лучше сделайте образ с помощью Acronis, на время отключите антивирус (или вообще лучше временно деинсталлировать)

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('PSSdk23', 4);
 DeleteService('PSSdk23');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\PSSdk23.sys','');
 SetServiceStart('VFILT', 4);
 DeleteService('VFILT');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\VFILT.sys','');
 SetServiceStart('SYMIDSCO', 4);
 DeleteService('SYMIDSCO');
 QuarantineFile('C:\WINDOWS\Temp\NAV\IWP\App\IDSDefs\SymIDSCo.sys','');
 SetServiceStart('SI15CI', 4);
 DeleteService('SI15CI');
 QuarantineFile('E:\PATCH\SI15CI.SYS','');
 SetServiceStart('SECRET.DLL', 4);
 DeleteService('SECRET.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\SECRET.DLL','');
 SetServiceStart('SandBox', 4);
 DeleteService('SandBox');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\SandBox.sys','');
 SetServiceStart('PROTECT.DLL', 4);
 DeleteService('PROTECT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\PROTECT.DLL','');
 SetServiceStart('POP3FILT.DLL', 4);
 DeleteService('POP3FILT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\POP3FILT.DLL','');
 SetServiceStart('NNTPFILT.DLL', 4);
 DeleteService('NNTPFILT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\NNTPFILT.DLL','');
 SetServiceStart('MAILFILT.DLL', 4);
 DeleteService('MAILFILT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\MAILFILT.DLL','');
 SetServiceStart('IMAPFILT.DLL', 4);
 DeleteService('IMAPFILT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\IMAPFILT.DLL','');
 SetServiceStart('HTTPFILT.DLL', 4);
 DeleteService('HTTPFILT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\HTTPFILT.DLL','');
 SetServiceStart('HTMLFILT.DLL', 4);
 DeleteService('HTMLFILT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\HTMLFILT.DLL','');
 SetServiceStart('FTPFILT.DLL', 4);
 DeleteService('FTPFILT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\FTPFILT.DLL','');
 SetServiceStart('DNSCACHE.DLL', 4);
 DeleteService('DNSCACHE.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\DNSCACHE.DLL','');
 SetServiceStart('CONTENT.DLL', 4);
 DeleteService('CONTENT.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\CONTENT.DLL','');
 SetServiceStart('ARP.DLL', 4);
 DeleteService('ARP.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ARP.DLL','');
 SetServiceStart('ADBLOCK.DLL', 4);
 DeleteService('ADBLOCK.DLL');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ADBLOCK.DLL','');
 SetServiceStart('OutpostFirewall', 4);
 DeleteService('OutpostFirewall');
 DeleteFile('OutpostFirewall.sys');
 DeleteFile('C:\WINDOWS\system32\OutpostFirewall.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ADBLOCK.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ARP.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\CONTENT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\DNSCACHE.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\FTPFILT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\HTMLFILT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\HTTPFILT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\IMAPFILT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\MAILFILT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\NNTPFILT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\POP3FILT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\PROTECT.DLL');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\SandBox.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\SECRET.DLL');
 DeleteFile('E:\PATCH\SI15CI.SYS');
 DeleteFile('C:\WINDOWS\Temp\NAV\IWP\App\IDSDefs\SymIDSCo.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\VFILT.sys');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\PSSdk23.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пофиксите в HJT

Цитата:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://windowsupdate.microsoft.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.rd.yahoo.com/customize/yco...//uk.yahoo.com

повторите лог virusinfo_syscheck.zip и ещё сделайте логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения.
Попробуйте запустить IE с параметром -extoff

Цитата:

iexplore.exe -extoff

и посмотреть появляется ли ошибка

[JinTropin]

Ошибка также появляеться. Изменений нету. Всё выше перечисленное сделал, IE с параметром -extoff запускал. Не помогает. Логи прикрепляю ниже, так как текст с них в сообщение не входит.

[Pili]

JinTropin,
В драйверах от outpost так и остался мусор, рекомендую пройтись каким-нибудь чистильщиком реестра, напр. jv16PT, антивирус и др. защитные программы отключали на время вып-ия скрипта? Попробуем так

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('VFILT', 4);
 DeleteService('VFILT');
 SetServiceStart('SandBox', 4);
 DeleteService('SandBox');
 SetServiceStart('SECRET.DLL', 4);
 DeleteService('SECRET.DLL');
 SetServiceStart('PROTECT.DLL', 4);
 DeleteService('PROTECT.DLL');
 SetServiceStart('POP3FILT.DLL', 4);
 DeleteService('POP3FILT.DLL');
 SetServiceStart('NNTPFILT.DLL', 4);
 DeleteService('NNTPFILT.DLL');
 SetServiceStart('MAILFILT.DLL', 4);
 DeleteService('MAILFILT.DLL');
 SetServiceStart('IMAPFILT.DLL', 4);
 DeleteService('IMAPFILT.DLL');
 SetServiceStart('HTTPFILT.DLL', 4);
 DeleteService('HTTPFILT.DLL');
 SetServiceStart('HTMLFILT.DLL', 4);
 DeleteService('HTMLFILT.DLL');
 SetServiceStart('FTPFILT.DLL', 4);
 DeleteService('FTPFILT.DLL');
 SetServiceStart('DNSCACHE.DLL', 4);
 DeleteService('DNSCACHE.DLL');
 SetServiceStart('CONTENT.DLL', 4);
 DeleteService('CONTENT.DLL');
 SetServiceStart('ADBLOCK.DLL', 4);
 DeleteService('ADBLOCK.DLL');
 SetServiceStart('PSSdk23', 4);
 DeleteService('PSSdk23');
 DeleteFile('PSSdk23.sys');
 DeleteFile('ADBLOCK.DLL');
 DeleteFile('CONTENT.DLL');
 DeleteFile('DNSCACHE.DLL');
 DeleteFile('FTPFILT.DLL');
 DeleteFile('HTMLFILT.DLL');
 DeleteFile('HTTPFILT.DLL');
 DeleteFile('IMAPFILT.DLL');
 DeleteFile('MAILFILT.DLL');
 DeleteFile('NNTPFILT.DLL');
 DeleteFile('POP3FILT.DLL');
 DeleteFile('PROTECT.DLL');
 DeleteFile('SECRET.DLL');
 DeleteFile('SandBox.sys');
 DeleteFile('VFILT.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

main.txt не полный, вероятно вы его редактировали. Удалите ключ в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 полностью
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените (защита от автозапуска)

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
1. Не переименовывайте Combofix
2. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
3. Запустите combofix.exe, когда процесс завершится скопируйте и выложите текст из C:\ComboFix.txt в сообщение
**Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания**

[JinTropin]

Час простоял Combofix завис видимо на шаге 9, все программы отключил. Попробую второй раз.

[Pili]

JinTropin, ок, если зависает Combofix, деинсталлируйте его - пуск выполнить Combofix /u, скачайте заново по другой ссылке, сохраните его как Combo-Fix.exe и попробуйте запустить ещё раз
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования откройте лог и скопируйте в сообщение. Тут есть картинки по использованию Malwarebytes' Anti-Malware.