[Pili]

zhefran, это другой комьютер или из темы Не запускаються ехе файлы. Ни один.?
сделайте логи по правилам

[zhefran]

другой.
Вот первый лог

[Pili]

zhefran, ок, ещё нужны логи AVZ

[zhefran]

Цитата Pili:

zhefran, ок, ещё нужны логи AVZ »

[Pili]

zhefran, лог не тот, см. правила 3.3.,3.4,4.2

[zhefran]

Этот?

Код:

Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 12.05.2008 16:13:10
Загружена база: сигнатуры - 163780, нейропрофили - 2, микропрограммы лечения - 55, база от 12.05.2008 09:41
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70774
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=0846E0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055B6E0
   KiST = 80503734 (284)
Функция NtCreateKey (29) перехвачена (80622048->B9EBE0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (35) перехвачена (805CF804->BA419C60), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateKey (47) перехвачена (80622888->B9EC3FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->B9EC4340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtMapViewOfSection (6C) перехвачена (805B09CE->BA4198F0), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenKey (77) перехвачена (806233DE->B9EBE0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryKey (A0) перехвачена (80623702->B9EC4418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueryValueKey (B1) перехвачена (80620102->B9EC4298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetValueKey (F7) перехвачена (80620708->B9EC44AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtShutdownSystem (F9) перехвачена (80610D7E->BA419E80), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (101) перехвачена (805D1170->BA419E20), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Проверено функций: 284, перехвачено: 11, восстановлено: 11
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A67B1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 8A1591E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 8A1591E8 -> перехватчик не определен
\driver\tcpip[IRP_MJ_CREATE] = BA419360 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
\driver\tcpip[IRP_MJ_CLOSE] = BA419580 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = BA4196A0 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = BA4196D0 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 51
 Количество загруженных модулей: 452
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\User\Рабочий стол\shell-hook\Shell_Hook\SHELLHook.dll >>> подозрение на Trojan-Downloader.Win32.Banload.bpz ( 0865527C 03ED847B 0021AD0F 001E572D 88064)
Файл успешно помещен в карантин (C:\Documents and Settings\User\Рабочий стол\shell-hook\Shell_Hook\SHELLHook.dll)
C:\Program Files\Tracker Software\PDF-Tools 2.5 SDK\Examples\PDF-Tools\Visual Basic\PDF2Txt\PDF2Text.exe >>> подозрение на Trojan.Win32.StartPage.aib ( 00487953 0027FAA8 00193530 00091998 40960)
Файл успешно помещен в карантин (C:\Program Files\Tracker Software\PDF-Tools 2.5 SDK\Examples\PDF-Tools\Visual Basic\PDF2Txt\PDF2Text.exe)
Прямое чтение C:\WINDOWS\system32\drivers\sptd.sys
G:\Delphi\hooks\hookB_N\Project1.exe >>> подозрение на Trojan.Win32.StartPage.auv ( 07F071FD 061061B2 00209817 0023E175 379392)
Файл успешно помещен в карантин (G:\Delphi\hooks\hookB_N\Project1.exe)
G:\Delphi\Новая папка\Project2.exe >>> подозрение на Trojan-Spy.Win32.Delf.bck ( 07E2FDCA 053DF84E 0021FCF9 0023E175 366592)
Файл успешно помещен в карантин (G:\Delphi\Новая папка\Project2.exe)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 264483, извлечено из архивов: 189982, найдено вредоносных программ 0, подозрений - 4
Сканирование завершено в 12.05.2008 16:30:27
!!! Внимание !!! Восстановлено 11 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:17:18
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено

[zhefran]

Код:

Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 12.05.2008 16:44:33
Загружена база: сигнатуры - 163780, нейропрофили - 2, микропрограммы лечения - 55, база от 12.05.2008 09:41
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70774
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: выключено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .text
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
 Анализ user32.dll, таблица экспорта найдена в секции .text
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
 Драйвер успешно загружен
 SDT найдена (RVA=0846E0)
 Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
   SDT = 8055B6E0
   KiST = 80503734 (284)
Функция NtCreateKey (29) перехвачена (80622048->B9EBE0D0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtCreateThread (35) перехвачена (805CF804->BA3F1C60), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция NtEnumerateKey (47) перехвачена (80622888->B9EC3FB2), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtEnumerateValueKey (49) перехвачена (80622AF2->B9EC4340), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtMapViewOfSection (6C) перехвачена (805B09CE->BA3F18F0), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция NtOpenKey (77) перехвачена (806233DE->B9EBE0B0), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryKey (A0) перехвачена (80623702->B9EC4418), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtQueryValueKey (B1) перехвачена (80620102->B9EC4298), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtSetValueKey (F7) перехвачена (80620708->B9EC44AA), перехватчик C:\WINDOWS\system32\Drivers\sptd.sys
Функция NtShutdownSystem (F9) перехвачена (80610D7E->BA3F1E80), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Функция NtTerminateProcess (101) перехвачена (805D1170->BA3F1E20), перехватчик C:\WINDOWS\system32\drivers\wpsdrvnt.sys
Проверено функций: 284, перехвачено: 11, восстановлено: 0
1.3 Проверка IDT и SYSENTER
 Анализ для процессора 1
 Анализ для процессора 2
 Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
 Драйвер успешно загружен
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 8A67B1E8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 8A67B1E8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 89FB0578 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 89FB0578 -> перехватчик не определен
\driver\tcpip[IRP_MJ_CREATE] = BA3F1360 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
\driver\tcpip[IRP_MJ_CLOSE] = BA3F1580 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
\driver\tcpip[IRP_MJ_DEVICE_CONTROL] = BA3F16A0 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
\driver\tcpip[IRP_MJ_INTERNAL_DEVICE_CONTROL] = BA3F16D0 -> C:\WINDOWS\system32\drivers\wpsdrvnt.sys
 Проверка завершена
2. Проверка памяти
 Количество найденных процессов: 46
Анализатор - изучается процесс 272 C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 316 C:\AppServ\Apache\Apache.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 524 C:\Program Files\Intel\AMT\LMS.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 572 C:\Program Files\MATLAB71\webserver\bin\win32\matlabserver.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 592 C:\AppServ\Apache\Apache.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1588 C:\Program Files\MATLAB71\bin\win32\MATLAB.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Процесс c:\program files\matlab71\bin\win32\matlab.exe Может работать с сетью (net.dll)
Анализатор - изучается процесс 3360 C:\WINDOWS\system32\hkcmd.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3376 C:\WINDOWS\system32\igfxpers.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3392 C:\WINDOWS\system32\igfxsrvc.exe
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 3520 C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3592 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3656 C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 3668 C:\Program Files\Tracker Software\PDF-XChange 3 API\pdfSaver\pdfSaver3.exe
[ES]:Приложение не имеет видимых окон
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 3728 C:\Program Files\DNA\btdna.exe
[ES]:Может работать с сетью
[ES]:Может отправлять почту ?!
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
[ES]:Записан в автозапуск !!
[ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
Анализатор - изучается процесс 3852 C:\Program Files\Rainlendar\Rainlendar.exe
[ES]:Может работать с сетью
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 2688 C:\Program Files\WinRAR\WinRAR.exe
[ES]:Может работать с сетью
 Количество загруженных модулей: 397
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
 >>  Разрешен автозапуск с HDD
 >>  Разрешен автозапуск с сетевых дисков
 >>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 443, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 12.05.2008 16:44:58
Сканирование длилось 00:00:26
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
Выполняется исследование системы
Исследование системы завершено

[zhefran]

Вот архивы

[Pili]

zhefran, В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wnicapi.dll','');
 QuarantineFile('C:\WINDOWS\system32\iconv.dll','');
 QuarantineFile('C:\WINDOWS\ssvanasek.dll','');
 DelBHO('{907C8FB0-1205-4189-99C9-9E8DA884B0B0}');
 DeleteFile('C:\WINDOWS\ssvanasek.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked" (если найдется)

Код:

O2 - BHO: SSVHelper - {907C8FB0-1205-4189-99C9-9E8DA884B0B0} - C:\WINDOWS\ssvanasek.dll

FlashGet рекомендую деинсталлировать и перейти на другой менеджер закачек, напр. на reget
NameServer = 88.0.0.108
провайдер ваш? знаком ip адрес?

Цитата:

88.0.0.108 address: Ronda de la Comunicaci address: Edificio Norte 1, planta 6 address: 28050 Madrid address: SPAIN address: Emilio Vargas, 4 address: 28043-MADRID address: SPAIN