Проблема

[Viktoriya]

Всем здравствуйте!

Компьютер был заражен вирусами. После чистки доктором Вебом осталась проблема, идентичная вот такой:

http://www.softboard.ru/index.php?showtopic=50051

После выполнения рекомендаций, описанных тут:

http://www.softboard.ru/index.php?s=&s...st&p=388603

Проблема осталась. Логи были получены.

Куда отсылать- не знаю.

Выкладываю тут.

Единственное, что я сделала отступив от инструкции: запустила AVZ с 3 скриптом два раза подряд- первый раз не заметила, что был отмечен только диск С. Поэтому логи могли измениться?:g: Извиняюсь, если вопрос дурацкий- я почти полный фонарь в борьбе с вирусами:)

Если просто запустить AVZ, все время находит два вируса на диске Д.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[ser208]

Прям кошмар :)

1. Пофикси в HijackThis

F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe

O2 - BHO: C:\WINDOWS\System32\Jfs9jg.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\System32\Jfs9jg.dll (file missing)

O2 - BHO: C:\WINDOWS\System32\Fsd9mk4g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\System32\Fsd9mk4g.dll (file missing)

O4 - HKLM\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKCU\..\Run: [Windows Recavery Adware] C:\DOCUME~1\Office_1\LOCALS~1\Temp\lsass.exe

O4 - HKCU\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe

O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\Office_1\Local Settings\Application Data\cftmon.exe

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)

O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll

O22 - SharedTaskScheduler: sklfc94krteetj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\System32\Jfs9jg.dll (file missing)

O22 - SharedTaskScheduler: JKhfj3ofgfgdtj - {B5AF0562-94F3-42BD-F434-2604812C797D} - C:\WINDOWS\System32\Fsd9mk4g.dll (file missing)

В AVZ меню Файл -- Выполнить скрипт

Скопировать код и нажать Запустить

begin

SetAVZGuardStatus(True);

SearchRootkit(true, true);

QuarantineFile('c:\windows\system32\microsoft\svchost.exe','');

QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');

QuarantineFile('C:\WINDOWS\system32\Microsoft\svchost.exe','');

QuarantineFile('C:\WINDOWS\System32\winlagons.exe','');

QuarantineFile('C:\DOCUME~1\Office_1\LOCALS~1\Temp\lsass.exe','');

QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');

QuarantineFile('C:\Documents and Settings\Office_1\Local Settings\Application Data\cftmon.exe','');

QuarantineFile('C:\WINDOWS\TEMP\lsass.exe','');

QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');

QuarantineFile('C:\WINDOWS\mmhren1.exe','');

QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');

QuarantineFile('sysfldr.dll','');

QuarantineFile('C:\WINDOWS\System32\Jfs9jg.dll','');

QuarantineFile('C:\WINDOWS\System32\Fsd9mk4g.dll','');

QuarantineFile('D:\Протоколи\Тетра Пак\Завдання стабилиз 583-2006.doc','');

QuarantineFile('D:\Протоколи\Тетра Пак\Завдання стабилиз 394-2006.doc','');

DeleteService('Google Online Search Service');

DeleteService('WinSecurServ05');

DeleteService('WinSecurServ05');

SetServiceStart('RemoteRegistry', 4);

SetServiceStart('TermService', 4);

SetServiceStart('SSDPSRV', 4);

SetServiceStart('Messenger', 4);

SetServiceStart('Alerter', 4);

SetServiceStart('mnmsrvc', 4);

SetServiceStart('RDSessMgr', 4);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);

TerminateProcessByName('c:\windows\system32\microsoft\svchost.exe');

BC_DeleteFile('c:\windows\system32\microsoft\svchost.exe');

BC_DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe');

BC_DeleteFile('C:\WINDOWS\system32\sysfldr.dll');

BC_DeleteFile('C:\DOCUME~1\Office_1\LOCALS~1\Temp\lsass.exe');

BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');

BC_DeleteFile('C:\WINDOWS\System32\Fsd9mk4g.dll');

BC_DeleteFile('C:\WINDOWS\System32\Jfs9jg.dll');

BC_DeleteFile('C:\WINDOWS\TEMP\lsass.exe');

BC_DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');

BC_DeleteFile('C:\WINDOWS\mmhren1.exe');

BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');

BC_DeleteFile('sysfldr.dll');

BC_DeleteFile('C:\Documents and Settings\Office_1\Local Settings\Application Data\cftmon.exe');

BC_DeleteFile('C:\WINDOWS\System32\winlagons.exe');

BC_Activate;

RebootWindows(true);

end.

После перезагрузки логи сделать опять.

Изменено 20 февраля, 2008 пользователем ser208

[Viktoriya]

Прям кошмар :)

1. Пофикси в HijackThis

О, все так ужасно???? Я извиняюсь, я фонарь:) Пофиксить это как???

В AVZ меню Файл -- Выполнить скрипт

Скопировать код и нажать Запустить

Куда скопировать код???

Простите за дурацкие вопросы, но я вообще в этом не шарю:)

[Pili]

Если вас попросили «пофиксить в HijackThis», запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Логи не смотрел, скрипт слегка поправил (пока не запустили на вып-ие)

В меню AVZ - файл - выполнить скрипт - скопировать скрипт ниже и запустить его

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\windows\system32\microsoft\svchost.exe','');QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');QuarantineFile('C:\WINDOWS\system32\Microsoft\svchost.exe','');QuarantineFile('C:\WINDOWS\System32\winlagons.exe','');QuarantineFile('C:\DOCUME~1\Office_1\LOCALS~1\Temp\lsass.exe','');QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');QuarantineFile('C:\Documents and Settings\Office_1\Local Settings\Application Data\cftmon.exe','');QuarantineFile('C:\WINDOWS\TEMP\lsass.exe','');QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');QuarantineFile('C:\WINDOWS\mmhren1.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');QuarantineFile('C:\WINDOWS\System32\Jfs9jg.dll','');QuarantineFile('C:\WINDOWS\System32\Fsd9mk4g.dll','');QuarantineFile('\??\c:\windows\system32\winlogon.exe','');QuarantineFile('D:\Протоколи\Тетра Пак\Завдання стабилиз 583-2006.doc','');QuarantineFile('D:\Протоколи\Тетра Пак\Завдання стабилиз 394-2006.doc','');DeleteService('Google Online Search Service');DeleteService('WinSecurServ05');DeleteService('WinSecurServ05');TerminateProcessByName('c:\windows\system32\microsoft\svchost.exe');BC_DeleteFile('c:\windows\system32\microsoft\svchost.exe');BC_DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe');BC_DeleteFile('C:\WINDOWS\system32\sysfldr.dll');BC_DeleteFile('C:\DOCUME~1\Office_1\LOCALS~1\Temp\lsass.exe');BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');BC_DeleteFile('C:\WINDOWS\System32\Fsd9mk4g.dll');BC_DeleteFile('C:\WINDOWS\System32\Jfs9jg.dll');BC_DeleteFile('C:\WINDOWS\TEMP\lsass.exe');BC_DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');BC_DeleteFile('C:\WINDOWS\mmhren1.exe');BC_DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');BC_DeleteFile('sysfldr.dll');BC_DeleteFile('C:\Documents and Settings\Office_1\Local Settings\Application Data\cftmon.exe');BC_DeleteFile('C:\WINDOWS\System32\winlagons.exe');BC_Activate;RebootWindows(true);end.

Изменено 20 февраля, 2008 пользователем Pili

[Viktoriya]

Ой, как фиксить - разобралась!!!! Только не под администратором не дает:):)

И куда код копировать- вроде поняла. Сейчас узнаю пароль администратора и буду фиксить:)

Большое спасибо, сейчас буду пробовать. А там действительно все так ужасно???? у нас никто сильно не шарит в компах:)

[Pili]

копировать в окно после "файл - выполнить скрипт"

сейчас логи посмотрю

[Viktoriya]

Ой, запустила AVZ, 3 скрипт для получения логов. проверял-проверял, потом как стало вываливать сообщение об ошибке выполнения этой программы:):) Пришлось через диспетчер задач снимать задачу:) сейчас перезапустила

[Pili]

выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('Secdrv');StopService('Rdd14');StopService('NdisWon');StopService('kcp');StopService('WinSecurServ05');StopService('Google Online Search Service');QuarantineFile('D:\Протоколи\Тетра Пак\Завдання стабилиз 583-2006.doc','');QuarantineFile('D:\Протоколи\Тетра Пак\Завдання стабилиз 394-2006.doc','');QuarantineFile('C:\WINDOWS\System32\wmedia32.exe','');QuarantineFile('C:\WINDOWS\System32\sysfldr.dll','');QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');QuarantineFile('C:\WINDOWS\mmhren1.exe','');QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');QuarantineFile('C:\WINDOWS\TEMP\lsass.exe','');QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');QuarantineFile('C:\WINDOWS\System32\Jfs9jg.dll','');QuarantineFile('C:\WINDOWS\System32\Fsd9mk4g.dll','');QuarantineFile('C:\Documents and Settings\Office_1\Local Settings\Application Data\cftmon.exe','');QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');QuarantineFile('C:\DOCUME~1\Office_1\LOCALS~1\Temp\lsass.exe','');QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Rdd14.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\NdisWon.sys','');QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');QuarantineFile('C:\WINDOWS\System32\winlagons.exe','');QuarantineFile('c:\windows\system32\microsoft\svchost.exe','');QuarantineFile('C:\WINDOWS\AcroIEHelper.dll','');DeleteService('NdisWon');DeleteService('WinSecurServ05');DeleteService('Google Online Search Service');DeleteService('kcp');DeleteFile('C:\WINDOWS\AcroIEHelper.dll');DeleteFile('c:\windows\system32\microsoft\svchost.exe');DeleteFile('C:\WINDOWS\system32\sysfldr.dll');DeleteFile('C:\WINDOWS\System32\winlagons.exe');DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');DeleteFile('C:\DOCUME~1\Office_1\LOCALS~1\Temp\lsass.exe');DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');DeleteFile('C:\Documents and Settings\Office_1\Local Settings\Application Data\cftmon.exe');DeleteFile('C:\WINDOWS\System32\Fsd9mk4g.dll');DeleteFile('C:\WINDOWS\System32\Jfs9jg.dll');DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');DeleteFile('C:\WINDOWS\TEMP\lsass.exe');DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');DeleteFile('C:\WINDOWS\mmhren1.exe');DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');DeleteFile('C:\WINDOWS\System32\sysfldr.dll');DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');DelBHO('{358A14C3-CB2F-4366-9A6C-1AEB63F0B036}');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы

повторите логи

[Viktoriya]

Подождите, мне поподробнее...

я выполнила тот скрипт, который Вы написали в начале. Еще раз этот большой скрипт выполнить??? Или сразу маленький?:)

Вобщем, при выполнении скрипта №3 появилось такое сообщение (вернее, их много:):)

[Pili]

Вы пофиксили в hijackthis строчки?

Выполните cкрипт из поста 8, AVZ - файл - выполнить скрипт - вставьте текст методом copy/paste (ctrl+c/ctrl+v), нажмите "запустить"

[Viktoriya]

Вы пофиксили в hijackthis строчки?

Выполните cкрипт из поста 8, AVZ - файл - выполнить скрипт - вставьте текст методом copy/paste (ctrl+c/ctrl+v), нажмите "запустить"

Строчки пофиксила и выполнила скрипт из поста 4. После чего стала выскакивать ошибка, описанная в постах 7 и 9. Поэтому и спрашиваю, мне еще раз запустить скрип, только из поста 8???

[Viktoriya]

Вобщем, запустила я скрипты из поста 8. Окно с предупреждением о трояне перестало выскакивать. Файл карантин записала, но, учитывая, что я не знаю, что такое ПМ, выкладываю ссылку на него тут:)

http://ifolder.ru/5439272

Сейчас получаю скрипты. Позже выложу.

[Pili]

Viktoriya: ПМ - PM - personal message, личные сообщения. Уберите ссылку на карантин поста 12!

где повторные логи?

[Viktoriya]

Viktoriya: ПМ - PM - personal message, личные сообщения. Уберите ссылку на карантин поста 12!

где повторные логи?

Я не вижу опции "редактировать":)

пришлось переустановить AVZ, так как все время повторялась проблема, описанная в посте 9:(

логи выкладываю.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[Viktoriya]

Viktoriya: ПМ - PM - personal message, личные сообщения. Уберите ссылку на карантин поста 12!

где повторные логи?

Так, почитала, наконец-то, FAQ:) на ссылку послал жалобу. про ПМ читаю. Извините бестолковую:)

[Matias]

на ссылку послал жалобу

Кнопка "Жалоба" является не лучшим вариантом информирования модераторов, поскольку сообщения, отправленные через кнопку, приходят им в личные сообщения. Солнце что-то давно не появлялась тут, поэтому прочесть ЛС она не сможет. Лучше отправить ссылку в приват любому участнику, имеющему полномочия супермодератора.

[Pili]

Viktoriya:

пофиксите

O4 - HKLM\..\Run: [WMedia32] wmedia32.exeO20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)

выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('Secdrv');StopService('Rdd14');StopService('NdisWon');QuarantineFile('wmedia32.exe','');QuarantineFile('C:\WINDOWS\System32\wmedia32.exe','');QuarantineFile('sysfldr.dll','');QuarantineFile('C:\WINDOWS\System32\sysfldr.dll','');QuarantineFile('C:\WINDOWS\mmhren1.exe','');QuarantineFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys','');QuarantineFile('NdisWon.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\NdisWon.sys','');QuarantineFile('C:\WINDOWS\System32\Drivers\Rdd14.sys','');QuarantineFile('C:\WINDOWS\system32\herjt402.exe','');DeleteFile('NdisWon.sys');DeleteFile('C:\WINDOWS\System32\Drivers\NdisWon.sys');DeleteFile('C:\WINDOWS\System32\DRIVERS\secdrv.sys');DeleteFile('C:\WINDOWS\mmhren1.exe');DeleteFile('sysfldr.dll');DeleteFile('C:\WINDOWS\system32\sysfldr.dll');DeleteFile('wmedia32.exe');DeleteFile('C:\WINDOWS\System32\wmedia32.exe');DeleteService('Secdrv');DeleteService('NdisWon');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, в теле письма указать ссылку на тему.

Повторите логи.

если файлы

C:\WINDOWS\System32\Drivers\Rdd14.sys

C:\WINDOWS\system32\herjt402.exe

NdisWon.sys

C:\WINDOWS\System32\DRIVERS\secdrv.sys

C:\WINDOWS\mmhren1.exe

sysfldr.dll

wmedia32.exe

в карантин не попадут, поищите их вручную, заархивируйте и выложите так же как карантин

Изменено 21 февраля, 2008 пользователем Pili

[Viktoriya]

Все сделала. Выкладываю логи.

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[Pili]

Viktoriya: где карантин? Если возникли трудности с размещением карантина на файлообменниках, можете прислать его по эл.почте на user15802[at]mail.ru, в теле письма не забудьте указать ссылку на тему

Изменено 22 февраля, 2008 пользователем Pili

[Viktoriya]

Viktoriya: где карантин?

отправила в пм, если я правильно все сделала

Viktoriya: где карантин?

единственная проблема- я не могу посмотреть, есть ли там указанные файлы

[Pili]

кроме C:\WINDOWS\system32\herjt402.exe (Trojan.Win32.Delf.bao по касперскому) ничего в карантин не попало, судя по карантину файлов C:\WINDOWS\System32\Drivers\Rdd14.sys и C:\WINDOWS\mmhren1.exe нет, попробуйте поикать их вручную, если найдете, заархивируйте с паролем virus и выложите так же как карантин.

выполните скрипт

beginSearchRootkit(true, true);SetAVZGuardStatus(True);StopService('Rdd14');SetServiceStart('Rdd14', 4);DeleteService('Rdd14');QuarantineFile('C:\WINDOWS\mmhren1.exe','');QuarantineFile('C:\WINDOWS\System32\Drivers\Rdd14.sys','');DeleteFile('C:\WINDOWS\System32\Drivers\Rdd14.sys');DeleteFile('C:\WINDOWS\system32\herjt402.exe');DeleteFile('C:\WINDOWS\mmhren1.exe');BC_DeleteFile('C:\WINDOWS\System32\Drivers\Rdd14.sys');BC_DeleteFile('C:\WINDOWS\system32\herjt402.exe');BC_DeleteFile('C:\WINDOWS\mmhren1.exe');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

повторите логи virusinfo_syscheck.zip, hijackthis.zip (они делаются быстро)

Изменено 22 февраля, 2008 пользователем Pili

[Viktoriya]

кроме C:\WINDOWS\system32\herjt402.exe (Trojan.Win32.Delf.bao по касперскому) ничего в карантин не попало, судя по карантину файлов C:\WINDOWS\System32\Drivers\Rdd14.sys и C:\WINDOWS\mmhren1.exe нет, попробуйте поикать их вручную, если найдете, заархивируйте с паролем virus и выложите так же как карантин.

Файлов не нашла. Делала поиск через проводник на дисках С и Д.

выполните скрипт

повторите логи virusinfo_syscheck.zip, hijackthis.zip (они делаются быстро)

Скрипт выполнять нужно???

Кнопка "Жалоба" является не лучшим вариантом информирования модераторов, поскольку сообщения, отправленные через кнопку, приходят им в личные сообщения. Солнце что-то давно не появлялась тут, поэтому прочесть ЛС она не сможет. Лучше отправить ссылку в приват любому участнику, имеющему полномочия супермодератора.

Если бы Вы подсказали, кто тут модератор, была бы благодарна%)

[Pili]

Файлов не нашла. Делала поиск через проводник на дисках С и Д.

Скрипт выполнять нужно???

Если бы Вы подсказали, кто тут модератор, была бы благодарна%)

попробуйте поискать через AVZ - Сервис - поиск файлов на диске, если не найдете, выполняейте скрипт

Модератор вроде Saule, но она давно тут не появлялась и General

[Viktoriya]

попробуйте поискать через AVZ - Сервис - поиск файлов на диске, если не найдете, выполняейте скрипт

Модератор вроде Saule, но она давно тут не появлялась и General

Так, вроде файлов не нашла. Скрипт выполнила. Логи собрала. Выкладываю.

По ходу вопрос- когда я выполняю скрипты в AVZ, надо ли отключать firewall и восстановление системы, как было посоветовано ранее???

virusinfo_syscheck.zip

hijackthis.zip

virusinfo_syscheck.zip

hijackthis.zip

[Pili]

Viktoriya: восстановление системы лучше отключить (пользы почти никакой) или удалить все точки восстановления и создать новую тут кратко об этом написано, firewall и все защитные программы (антивир тоже) надо было раньше отключать (и откл. от интернета на время вып-ия скриптов), C:\WINDOWS\mmhren1.exe всё ещё в автозагрузке присутствует.

пофиксите в hijackthis

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\Office_1\Local Settings\Temp\EI40_\msxml4.cab

выполните

beginSearchRootkit(true, true);SetAVZGuardStatus(True);DeleteFile('C:\WINDOWS\mmhren1.exe');DelAutorunByFileName('mmhren1.exe');RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');BC_DeleteFile('C:\WINDOWS\mmhren1.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;end.

и ещё раз для контроля логи virusinfo_syscheck.zip, hijackthis.zip