[Pili]

Отключите восстановление системы. Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус.

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\program files\tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe','');
 QuarantineFile('G:\ЛПЦ1\АРМ\Install\arm_install\oracle\RegUnreg.exe','');
 QuarantineFile('C:\WINDOWS\system32\plugincpl13126.cpl','');
 QuarantineFile('C:\WINDOWS\system32\drivers\aeaudio.sys','');
 QuarantineFile('C:\WINDOWS\TEMP\DFC9B3.EXE','');
 QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ATICDSDr.sys','');
 DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin	
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему.
Временно удалите Radmin через установку/удаление программ
Проверьте C:\WINDOWS\system32\winlogon.exe на virustotal.com, результат проверки скопируйте в следующее сообщение.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.
С помощью AVPTool проверку проводили?

[Vessta]

Цитата Pili:

С помощью AVPTool проверку проводили? »

Нет, даже не знаю, что это

Начну выполнять ваши указания

[Pili]

Цитата Vessta:

Нет, даже не знаю, что это »

см. в правилах, есть ссылка на AVPTool

[Vessta]

Цитата Pili:

см. в правилах, есть ссылка на AVPTool »

да, уже нашла. спасибо

[Vessta]

Цитата Pili:

Проверьте C:\WINDOWS\system32\winlogon.exe на virustotal.com, результат проверки скопируйте в следующее сообщение. »

А что там с датами?:

Файл winlogon.exe получен 2008.11.14 17:54:52 (CET)

Это мой файл проанализирован?
Результаты выкладываю :

Файл winlogon.exe получен 2008.11.14 17:54:52 (CET)
Текущий статус: закончено

Результат: 0/36 (0.00%)
Форматированные Печать результатов
Антивирус Версия Обновление Результат
AhnLab-V3 2008.11.14.3 2008.11.14 -
AntiVir 7.9.0.31 2008.11.14 -
Authentium 5.1.0.4 2008.11.14 -
Avast 4.8.1281.0 2008.11.14 -
AVG 8.0.0.199 2008.11.14 -
BitDefender 7.2 2008.11.14 -
CAT-QuickHeal 10.00 2008.11.13 -
ClamAV 0.94.1 2008.11.14 -
DrWeb 4.44.0.09170 2008.11.14 -
eSafe 7.0.17.0 2008.11.13 -
eTrust-Vet 31.6.6208 2008.11.13 -
Ewido 4.0 2008.11.14 -
F-Prot 4.4.4.56 2008.11.13 -
F-Secure 8.0.14332.0 2008.11.14 -
Fortinet 3.117.0.0 2008.11.14 -
GData 19 2008.11.14 -
Ikarus T3.1.1.45.0 2008.11.14 -
K7AntiVirus 7.10.525 2008.11.14 -
Kaspersky 7.0.0.125 2008.11.14 -
McAfee 5433 2008.11.13 -
Microsoft 1.4104 2008.11.14 -
NOD32 3614 2008.11.14 -
Norman 5.80.02 2008.11.14 -
Panda 9.0.0.4 2008.11.14 -
PCTools 4.4.2.0 2008.11.14 -
Prevx1 V2 2008.11.14 -
Rising 21.03.42.00 2008.11.14 -
SecureWeb-Gateway 6.7.6 2008.11.14 -
Sophos 4.35.0 2008.11.14 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.14 -
TheHacker 6.3.1.1.152 2008.11.13 -
TrendMicro 8.700.0.1004 2008.11.14 -
VBA32 3.12.8.9 2008.11.14 -
ViRobot 2008.11.14.1468 2008.11.14 -
VirusBuster 4.5.11.0 2008.11.13 -

[Pili]

winlogon.exe в порядке, это был фолс (ложное срабатывание) вашего антивируса, обновите базы антивируса,
lcfep.exe - Backdoor.Win32.S (vf) по антивирусу Sunbelt, возможен фолс, файл ушел на доп. анализ в вирлаб.
G:\ЛПЦ1\АРМ\Install\arm_install\oracle\RegUnreg.exe в карантин не попал, проверьте его на virustotaol.com, рез-т проверки скопируйте и вставьте в след. сообщение.
Файлов aeaudio.sys, DFC9B3.EXE, ATICDSDr.sys видимо физически нет на диске и видимо остался мусор в реестре, попробуйте их поискать вручную и прислать в архиве с паролем virus, также выложите пожалуйста логи MBAM в след. сообщении.

[Vessta]

Временно отсутствовала. Докладываю

aeaudio.sys, DFC9B3.EXE, ATICDSDr.sys не нашла, lcfep.exe - тоже.

Malwarebytes' Anti-Malware и AVPTool установить не могу, по крайней мере - пока: не знаю, как отключить корпоративный OfficeScane.

Цитата Pili:

G:\ЛПЦ1\АРМ\Install\arm_install\oracle\RegUnreg.exe в карантин не попал, проверьте его на virustotaol.com»

Файл RegUnreg.exe получен 2008.11.18 09:45:23 (CET)
Текущий статус: закончено

Результат: 2/36 (5.56%)
Форматированные Печать результатов
Антивирус Версия Обновление Результат
AhnLab-V3 2008.11.18.0 2008.11.18 -
AntiVir 7.9.0.31 2008.11.18 -
Authentium 5.1.0.4 2008.11.18 -
Avast 4.8.1281.0 2008.11.17 -
AVG 8.0.0.199 2008.11.17 -
BitDefender 7.2 2008.11.18 -
CAT-QuickHeal 10.00 2008.11.18 -
ClamAV 0.94.1 2008.11.18 -
DrWeb 4.44.0.09170 2008.11.18 -
eSafe 7.0.17.0 2008.11.17 -
eTrust-Vet 31.6.6209 2008.11.14 -
Ewido 4.0 2008.11.17 -
F-Prot 4.4.4.56 2008.11.17 -
F-Secure 8.0.14332.0 2008.11.18 Suspicious:W32/Malware!Gemini
Fortinet 3.117.0.0 2008.11.18 -
GData 19 2008.11.18 -
Ikarus T3.1.1.45.0 2008.11.18 -
K7AntiVirus 7.10.526 2008.11.15 -
Kaspersky 7.0.0.125 2008.11.18 -
McAfee 5437 2008.11.17 -
Microsoft 1.4104 2008.11.17 -
NOD32 3620 2008.11.18 -
Norman 5.80.02 2008.11.17 -
Panda 9.0.0.4 2008.11.17 Suspicious file
PCTools 4.4.2.0 2008.11.17 -
Prevx1 V2 2008.11.18 -
Rising 21.04.11.00 2008.11.18 -
SecureWeb-Gateway 6.7.6 2008.11.18 -
Sophos 4.35.0 2008.11.18 -
Sunbelt 3.1.1801.2 2008.11.14 -
Symantec 10 2008.11.18 -
TheHacker 6.3.1.1.157 2008.11.18 -
TrendMicro 8.700.0.1004 2008.11.18 -
VBA32 3.12.8.9 2008.11.17 -
ViRobot 2008.11.18.1473 2008.11.18 -
VirusBuster 4.5.11.0 2008.11.17 -

Так-то RegUnreg.exe - не на моей машинке

А у меня, судя по симптомам, похоже проблема решена. Спасибо большое за супер помощь, рекомендовала ваш ресурс всем страждущим

[Pili]

Цитата Vessta:

Malwarebytes' Anti-Malware и AVPTool установить не могу, по крайней мере - пока: не знаю, как отключить корпоративный OfficeScane »

отключать не требуется, MBAM и AVPTool не должны конфликтовать с существующим антивирусом, т.к. не содержат антивирусного монитора.

Цитата Vessta:

А у меня, судя по симптомам, похоже проблема решена. Спасибо большое за супер помощь, рекомендовала ваш ресурс всем страждущим »

Пожалуйста :) Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и следовать рекомендациям, описанным в этой книге. Чистого вам интернета!

[Vessta]

Цитата Pili:

отключать не требуется, MBAM и AVPTool не должны конфликтовать с существующим антивирусом, т.к. не содержат антивирусного монитора »

MBAM немножко почистил реестр.

Самым сложным для меня оказалось отметить тему решенной, куда жать - не нашла.
зы: все нашлось.

Еще раз спасибо!