Backdoor.Rustock.B (lzx32.sys)

[Kuzyma]

Dr.Web CureIt Project

Ad-Aware

NortonInternetSecurity

Никто не может справиться с моим спам роботом, в который недавно превратился мой компьютер.

Отсылает преимущественно .de

.com и т. д.

Что делать?

Если тема не нова дайте ссылку, пожалуйста, хотя давно рою инет и никакое предложенное снадобье не решило проблему.

[Satellite]

Kaspersky Internet Security + Ad-Aware.

скачиваешь пробную версию каспера вот тут вот, обновляешь базы, перезагружаешься и потом ставишь комп на полное сканирование. или еще более хороший вариант - после того как поставишь-обновишь- делай аварийный загрузочный диск(там есть такой пункт), грузись с него и сканруй - в этом случае будет вылечено больше, потому что win не будет загружена и соответственно не будет блокировать доступ к ряду файлов.

[Timba]

Kuzyma

Маловато информации.

1) Этот бот сам рассылку ведет или использует твою почтовую программу?

2) В качестве файрволла у тебя используется вышеуказанный Norton Internet Security?

1) Ну если он все-таки идентифицируется в процессах, то можно (если в файрволе есть такие функции) просто запереть его на компе, запретив ему доступ вообще куда-либо.

2) Если использует почтовую программу, то можно просто запретить исходящий SMTP трафик на .de .com, если сам на такие домены ничего не отправляешь.

3) Я бы все-таки просканил компьютер антивирусными сканерами других производителей.

4) Если его удастся идентифицировать, даже если нельзя пока убить автоматически, найти его описалово и попытаться убить "ручками".

[Kuzyma]

Kuzyma

Маловато информации.

1) Этот бот сам рассылку ведет или использует твою почтовую программу?

Почтовую программу не трогает

2) В качестве файрволла у тебя используется вышеуказанный Norton Internet Security?

И он, как прокси и пробовал встроенный – опять прокси – результат один

1) Ну если он все-таки идентифицируется в процессах, то можно (если в файрволе есть такие функции) просто запереть его на компе, запретив ему доступ вообще куда-либо.

В процессах я не знаю кто-это

2) Если использует почтовую программу, то можно просто запретить исходящий SMTP трафик на .de .com, если сам на такие домены ничего не отправляешь.

Это в автоматике NIS и делает, но это же не выход. Яичко колотится, забирая ресурсы, просто выхода не находит!

3) Я бы все-таки просканил компьютер антивирусными сканерами других производителей.

Просканил NIS2006 с обновлёнными базами, DrWEb – сканер свежий сегодняшний…, каспером

4) Если его удастся идентифицировать, даже если нельзя пока убить автоматически, найти его описалово и попытаться убить "ручками".

Вот если быыыы

А то он гад всякий раз и всё по буржуйским сайтам

Спасибо

Пока по нулям

Стоит остановить NIS… и непрерывный спамотРест, будь он трижды упадёт с эйфелевой башни….

[Wlad]

Kuzyma:

Хм... Неужели ни AdAware ни HijackThis никак не помогли?

[Saule]

Никто не может справиться с моим спам роботом, в который недавно превратился мой компьютер.

Есть специальная тема для таких случаев: Помощь в лечении систем от нечисти.

Сделайте, пожалуйста, хоть какие-нибудь логи (желательно и с помощью HijackThis, и с помощью AVZ), как это описано в её первом посте.

[Kuzyma]

Дорогое Солнце, есл Вы ещё тут, то высылаю по вашему совету логи, сам я в них ничерта не смыслю...(_

О, небо, как сложно, попробуем укорить!

Logfile of HijackThis v1.99.1

Scan saved at 21:13:30, on 02.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Common Files\Symantec Shared\ccProxy.exe

D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

D:\Program Files\Norton Internet Security\ISSVC.exe

D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\Program Files\HHVcdV5Sys\VC5SecS.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\HHVcdV5Sys\VC5Play.exe

D:\Program Files\Panasonic\USB GEAR\DECTWinApp.exe

D:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

D:\Program Files\Common Files\Symantec Shared\ccApp.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\BeholdTV\Agent\BhAgent.exe

D:\Program Files\Virtual CD v5\System\VC5Tray.exe

D:\WINDOWS\explorer.exe

c:\xtom.exe

D:\Program Files\BeholdTV\BeholdTV.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\Common Files\Symantec Shared\AdBlocking\NSMdtr.exe

c:\krla.exe

D:\Program Files\WinRAR\WinRAR.exe

D:\DOCUME~1\Nick\LOCALS~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Program Files\DAP\DAPBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Program Files\DAP\DAPIEBar.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [VC5Player] D:\Program Files\HHVcdV5Sys\VC5Play.exe

O4 - HKLM\..\Run: [DECTWinApp] "D:\Program Files\Panasonic\USB GEAR\DECTWinApp.exe" /S

O4 - HKLM\..\Run: [OrderReminder] D:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ccApp] D:\Program Files\Common Files\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [DownloadAccelerator] D:\PROGRA~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [Advanced Tools Check] c:\instal\___program\norton antivirus 2003\nav2003\advtools\advchk.exe

O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - Startup: BhAgent.lnk = D:\Program Files\BeholdTV\Agent\BhAgent.exe

O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: Append to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Отправить в OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\PROGRA~1\DAP\DAP.EXE

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - D:\WINDOWS\system32\imapi.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Program Files\Norton Internet Security\ISSVC.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - D:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Координатор распределенных транзакций (MSDTC) - Unknown owner - D:\WINDOWS\system32\msdtc.exe (file missing)

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - D:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - D:\WINDOWS\system32\sessmgr.exe

O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - D:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - D:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - D:\Program Files\HHVcdV5Sys\VC5SecS.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - D:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - D:\WINDOWS\system32\wbem\wmiapsrv.exe

hijackthis.log

hijackthis.log

Изменено 2 сентября, 2007 пользователем Kuzyma

[Saule]

Дорогое Солнце, есл Вы ещё тут, то высылаю по вашему совету логи, сам я в них ничерта не смыслю...(_

О, небо, как сложно, попробуем укорить!

HijackThis ничего не видит, поэтому по-быстрому не получится =(

Нужен лог AVZ. Распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы:

Файл > Исследование системы

И присоединяем (только не копируем, а именно присоединяем) полученный html-файл к своему сообщению.

Плюс эти двое - ваши файлы (т.е. вам они знакомы или нет? :)) :

c:\

krla.exe

c:\

xtom.exe

Изменено 2 сентября, 2007 пользователем Saule

[Kuzyma]

НЕЕТ!!!

славненько на "с" их непонятных во скокко!!!

krla i ixtom в активных процессах!

Чтож антивири молчат! Если бы не солнышко, то так и прозябал бы.... растудыть...

Изменено 2 сентября, 2007 пользователем Kuzyma

[Kuzyma]

Протокол антивирусной утилиты AVZ версии 4.27

Сканирование запущено в 02.09.2007 22:02:02

Загружена база: 125002 сигнатуры, 2 нейропрофиля, 55 микропрограмм лечения, база от 30.08.2007 14:15

Загружены микропрограммы эвристики: 371

Загружены микропрограммы ИПУ: 9

Загружены цифровые подписи системных файлов: 62028

Режим эвристического анализатора: Средний уровень эвристики

Режим лечения: включено

Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора

Восстановление системы: включено

1. Поиск RootKit и программ, перехватывающих функции API

1.1 Поиск перехватчиков API, работающих в UserMode

Анализ kernel32.dll, таблица экспорта найдена в секции .text

Анализ ntdll.dll, таблица экспорта найдена в секции .text

Анализ user32.dll, таблица экспорта найдена в секции .text

Анализ advapi32.dll, таблица экспорта найдена в секции .text

Анализ ws2_32.dll, таблица экспорта найдена в секции .text

Анализ wininet.dll, таблица экспорта найдена в секции .text

Анализ rasapi32.dll, таблица экспорта найдена в секции .text

Анализ urlmon.dll, таблица экспорта найдена в секции .text

Анализ netapi32.dll, таблица экспорта найдена в секции .text

1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08C500)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80563500

KiST = 804E4F40 (284)

Функция NtConnectPort (1F) перехвачена (805951B9->819F5810), перехватчик не определен

Функция NtCreateKey (29) перехвачена (80579528->EF97EF51), перехватчик D:\WINDOWS\system32:lzx32.sys

Функция NtEnumerateKey (47) перехвачена (8057A69E->F8432E2C), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys

Функция NtEnumerateValueKey (49) перехвачена (80590C93->F84331BA), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys

Функция NtOpenKey (77) перехвачена (80573F1D->EF97F005), перехватчик D:\WINDOWS\system32:lzx32.sys

Функция NtOpenProcess (7A) перехвачена (80581C68->81AE3970), перехватчик не определен

Функция NtOpenThread (80) перехвачена (80598726->81A51BA0), перехватчик не определен

Функция NtQueryKey (A0) перехвачена (8057A29E->F8433292), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys

Функция NtQueryValueKey (B1) перехвачена (80574361->F8433112), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys

Функция NtSetValueKey (F7) перехвачена (80584921->F8433324), перехватчик D:\WINDOWS\system32\Drivers\sptd.sys

Функция NtTerminateProcess (101) перехвачена (8058CE75->EF980CCB), перехватчик D:\WINDOWS\system32:lzx32.sys

Проверено функций: 284, перехвачено: 11, восстановлено: 0

1.3 Проверка IDT и SYSENTER

Анализ для процессора 1

Анализ для процессора 2

Проверка IDT и SYSENTER завершена

1.4 Поиск маскировки процессов и драйверов

Проверка не производится, так как не установлен драйвер мониторинга AVZPM

2. Проверка памяти

Количество найденных процессов: 42

Количество загруженных модулей: 435

Проверка памяти завершена

3. Сканирование дисков

4. Проверка Winsock Layered Service Provider (SPI/LSP)

Настройки LSP проверены. Ошибок не обнаружено

5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)

6. Поиск открытых портов TCP/UDP, используемых вредоносными программами

Проверка отключена пользователем

7. Эвристичеcкая проверка системы

>>> D:\Program Files\DAP\DAPBHO.dll ЭПС: подозрение на Adware.SpeedBit

>>> D:\Program Files\DAP\DAPIEBar.dll ЭПС: подозрение на Adware.SpeedBit

>>> D:\Program Files\DAP\DAPBHO.dll ЭПС: подозрение на Adware.SpeedBit

>>> D:\Program Files\DAP\DAPIEBar.dll ЭПС: подозрение на Adware.SpeedBit

>>> C:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

>>> E:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

Проверка завершена

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> разрешена потенциально опасная служба TermService (Службы терминалов)

>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

Проверка завершена

Просканировано файлов: 477, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0

Сканирование завершено в 02.09.2007 22:02:54

Сканирование длилось 00:00:53

Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,

то Вы можете обратиться в конференцию - http://virusinfo.info

[Saule]

НЕЕТ!!!

славненько на "с" их непонятных во скокко!!!

Если всё это не ваше, то убивайте. Но есть важный момент - HijackThis не показал каким именно образом они запускаются при загрузке системы (а два из них явно находились в активных процессах), поэтому их удаление может ни к чему не привести, так как тот, кто отвечал за их запуск, может легко создать новые. Нужно найти и обезвредить "главного".

Протокол антивирусной утилиты AVZ версии 4.27

Замечательно. Уже видно, что у вас руткит - lzx32.sys. Но на диске вы так легко, к сожалению, его не найдете, так как он благополучно скрывает себя (почему: кратко о руткитах).

И(!) после сканирования нужно было сделать еще и "Исследование системы" (в верхнем меню AVZ: Файл > Исследование системы и присоединяем полученный html-файл к своему сообщению). Так как таким образом будет видно чуть больше (вполне возможно, что есть еще что-то) - тогда уже можно будет объяснить, каким именно образом от всего этого можно избавиться.

[woldemar]

Убивайте всех! это одно и тоже Г размером 58кб и это явно не системные файлы

[Satellite]

Чтож антивири молчат!

от руткитов сложнее всего избавиться. самая, пожалуй, вредная и трудно удаляемая зараза.

прочитал, что сделали сканирование касперским - сделайте из windows загрузочный диск(откройте касперского, вкладка сервис, аварийный диск) и попробуйте с него загрузиться и просканировать(как я писал выше - система не стартует, соответственно ограничений на доступ нет. а в случае с руткитами - порой заражается резервное хранилище, из которого он не удаляется,если проходить антивирусом загруженным с ОС)

[Saule]

В верхнем меню AVZ нажимаем:

Файл > Выполнить скрипт

И копируем в открывшееся окошко следующий код:

beginSetAVZPMStatus(True);SearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');DeleteFile('C:\WINDOWS\system32:lzx32.sys');BC_ImportDeletedList;ExecuteSysClean;BC_DeleteSvc('PE386');BC_Activate;RebootWindows(true);end.

Запускаем с помощью соответствующей кнопки ("Запустить").

Только обратите внимание, что процесс удаления закончится перезагрузкой компьютера, поэтому все лишние программы и приложения желательно заранее выключить.

После перезагрузки всё в системе должно наладиться.