Помогите побороть вирус.

[sveters]

Доброе время суток. Столкнулся с проблемой которую не получается решить :blink:

После проверки системы антивирусом AVAST (удалилось 3-4 инфицированных файла) и стало выскакивать сообщение об ошибки в SETUPAPI.DLL. Скачал данную библиотеку но перезаписать ее не получается т.к. файл используется. Затем решил запустить AVZ и HijackThis для выполнения Ваших скриптов но программы запускаются буквально на 1/10 секунды и сразу вылетают. Переименование их ни к чему не привело :bleh: Проверка Dr.Web'om ничего не дала, пишет что все хорошо. Сайты производителей антивирусов не грузятся. Не могу понять что делать? Все сносить и ставить заново? Или есть вариант оживить?

Заранее благодарен за ответы.

p.s. Еще забыл написать - Windows не грузится в безлопастном режиме. т.е. при нажатии F8 (как обычно) не дает ни каких результатов :g:

[sveters]

При помощи msconfig удалось запустить безопастный режим, но в нем также ничего не запускается :blink:

Сайт virusinfo тоже не грузится.

Вот точный текст выскакивающего сообщения: Точка входа в процедуру SeDiEnumDeviceInterfaces не найдена в библиотеке DLL SETUPAPI.dll.

[edde]

Попробуйте выполнить логи этим авз http://gjf.hotbox.ru/mink.pif

[sveters]

Этот AVZ тоже запускается меньше чем на секунду :bye1: Еще вот что заметил - не могу загрузить ничего с сайта Microsoft, хотел сегодня перейти на win7 (поверх поставить) ничего не выходит. Выход в инет блочется и на этом все :) Может быть просто отформотировать С диск и поставится по новой? Просто очень интересно что за вирус такой.

[edde]

По поводу форматирования диска вопрос не ко мне:bye1: и к тому-же может и не помочь.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.

2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

[sveters]

Combofix запустился с первого раза без переименования :) Текст лога разместил ниже. Может быть еще эта информация поможет решить мою проблему - пытался поставить win7 сегодня поверх XP, в начале установки семерка попросила соединение с инетом для поиска обновлений - на этом каждая попытка установки и заканчивалась :) Семерка так ни разу и не смогла связаться с сервером windows. Кстати сайт virus info тоже не открывается на этом компе, хотя на другом свободно и быстро :) Во время начала работы Cpmbpfix пытался что то скачать, но это у него не вышло :) Спасибо за Вашу помощь!

Вот текст лога Combofix:

ComboFix 10-08-14.06 - sveters 16.08.2010 0:18.2.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1023.407 [GMT 4:00]

Running from: c:\documents and settings\sveters\Рабочий стол\ComboFix.exe

AV: avast! Internet Security *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FW: avast! Internet Security *disabled* {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\program files\Common Files\bssrepp

c:\program files\Common Files\bssrepp\keys.zip

c:\program files\Common Files\bssrepp\private.txt

c:\program files\Common Files\bssrepp\public.txt

c:\program files\Common Files\keylog.txt

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.C.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

.

((((((((((((((((((((((((( Files Created from 2010-07-15 to 2010-08-15 )))))))))))))))))))))))))))))))

.

2010-08-14 12:14 . 2010-08-14 12:14 -------- d-----w- c:\program files\Trend Micro

2010-08-14 07:36 . 2010-08-14 07:36 117760 ----a-w- c:\windows\system32\rtxdkm.exe

2010-08-14 07:35 . 2010-08-14 07:35 33792 ----a-w- c:\windows\system32\b9070e7f.exe

2010-08-07 12:37 . 2010-08-07 12:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Bluetooth

2010-08-07 12:15 . 2004-12-16 12:32 13304 ----a-w- c:\windows\system32\drivers\BTNetFilter.sys

2010-08-07 12:15 . 2004-11-05 07:39 82148 ----a-w- c:\windows\system32\drivers\VcommMgr.sys

2010-08-07 12:15 . 2004-10-19 09:37 61312 ----a-w- c:\windows\system32\drivers\VComm.sys

2010-08-07 12:15 . 2004-09-22 14:08 12504 ----a-w- c:\windows\system32\drivers\VHIDMini.sys

2010-08-07 12:15 . 2010-08-07 12:15 -------- d-----w- c:\program files\IVT Corporation

2010-08-07 12:15 . 2004-12-01 13:55 22488 ----a-w- c:\windows\system32\drivers\btcusb.sys

2010-08-07 12:15 . 2004-10-19 07:39 20096 ----a-w- c:\windows\system32\drivers\blueletaudio.sys

2010-08-07 12:15 . 2004-09-21 14:18 7680 ----a-w- c:\windows\system32\btinstall.dll

2010-08-07 12:15 . 2004-09-21 14:18 148830 ----a-w- c:\windows\system32\drivers\bcbthub.sys

2010-08-07 12:15 . 2004-09-21 14:18 116021 ----a-w- c:\windows\system32\drivers\fw203x.sys

2010-08-07 12:15 . 2004-09-21 14:15 10804 ----a-w- c:\windows\system32\drivers\BtNetDrv.sys

2010-08-03 05:14 . 2010-08-03 05:14 503808 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-69e338c2-n\msvcp71.dll

2010-08-03 05:14 . 2010-08-03 05:14 499712 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-69e338c2-n\jmc.dll

2010-08-03 05:14 . 2010-08-03 05:14 348160 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-69e338c2-n\msvcr71.dll

2010-08-03 05:14 . 2010-08-03 05:14 61440 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-4c80ffee-n\decora-sse.dll

2010-08-03 05:14 . 2010-08-03 05:14 12800 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-4c80ffee-n\decora-d3d.dll

2010-07-30 21:10 . 2010-07-30 21:10 193488 ----a-w- c:\documents and settings\LocalService\Local Settings\Application Data\FontCache3.0.0.0.dat

2010-07-28 21:09 . 2010-07-28 21:09 -------- d-----w- c:\program files\Common Files\wm

2010-07-25 09:19 . 2010-07-25 09:19 -------- d-----w- c:\program files\iPod

2010-07-25 09:05 . 2010-07-25 09:05 73000 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe

2010-07-23 23:25 . 2010-07-24 09:20 -------- d---a-w- c:\windows\FABULK

2010-07-23 21:51 . 2010-07-23 23:11 -------- d---a-w- c:\windows\MDPTBULK

2010-07-17 12:26 . 2010-07-17 12:26 -------- d-----w- c:\program files\Microsoft.NET

2010-07-17 12:23 . 2010-07-17 12:27 -------- d-----w- c:\windows\SHELLNEW

2010-07-17 12:22 . 2010-07-17 12:22 -------- d-----r- C:\MSOCache

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-08-15 07:42 . 2009-09-30 20:47 -------- d-----w- c:\documents and settings\sveters\Application Data\The Bat!

2010-08-14 21:34 . 2009-10-01 19:04 -------- d-----w- c:\program files\PokerStars

2010-08-14 21:14 . 2009-12-04 22:18 -------- d-----w- c:\documents and settings\sveters\Application Data\Media Player Classic

2010-08-14 15:14 . 2009-09-30 20:44 -------- d-----w- c:\program files\Opera

2010-08-14 11:08 . 2010-07-16 09:09 -------- d-----w- c:\program files\TuneUp Utilities 2010

2010-08-11 19:03 . 2006-03-02 12:00 95238 ----a-w- c:\windows\system32\perfc019.dat

2010-08-11 19:03 . 2006-03-02 12:00 510158 ----a-w- c:\windows\system32\perfh019.dat

2010-08-09 11:05 . 2009-09-30 20:44 -------- d-----w- c:\documents and settings\sveters\Application Data\uTorrent

2010-08-07 12:58 . 2009-09-30 17:38 -------- d-----w- c:\program files\CCleaner

2010-08-07 12:15 . 2009-09-30 17:16 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-08-03 22:04 . 2009-10-01 19:17 -------- d-----w- c:\program files\Full Tilt Poker

2010-08-01 10:04 . 2009-09-30 20:41 -------- d-----w- c:\program files\Download Master

2010-07-25 21:02 . 2009-09-30 21:26 -------- d---a-w- c:\documents and settings\All Users\Application Data\Temp

2010-07-25 09:20 . 2010-06-17 16:29 -------- d-----w- c:\program files\iTunes

2010-07-25 09:19 . 2009-09-30 21:07 -------- d-----w- c:\program files\Common Files\Apple

2010-07-19 06:46 . 2009-12-06 15:59 51780 ---ha-w- c:\windows\system32\mlfcache.dat

2010-07-17 16:13 . 2009-09-30 18:24 69624 ----a-w- c:\documents and settings\sveters\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-07-17 12:50 . 2010-07-13 17:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2010-07-17 12:40 . 2010-07-15 10:55 -------- d-----w- c:\program files\Microsoft Works

2010-07-17 12:28 . 2009-09-30 17:47 -------- d-----w- c:\program files\MSBuild

2010-07-17 12:24 . 2010-07-15 10:45 -------- d-----w- c:\program files\Microsoft Visual Studio 8

2010-07-16 08:31 . 2010-07-16 08:31 -------- d-----w- c:\documents and settings\sveters\Application Data\TuneUp Software

2010-07-16 08:31 . 2010-07-16 08:31 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software

2010-07-16 08:30 . 2010-07-16 08:30 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{D3742F82-1C1A-4DCC-ABBD-0E7C3C0185CC}

2010-07-14 15:28 . 2010-07-14 15:28 -------- d-----w- c:\documents and settings\sveters\Application Data\Uniblue

2010-07-14 11:27 . 2009-10-01 19:23 -------- d-----w- c:\program files\PartyGaming

2010-07-13 17:04 . 2010-06-06 08:43 -------- d-----w- c:\program files\Microsoft

2010-07-07 19:57 . 2009-10-01 10:18 -------- d-----w- c:\program files\ICQ6.5

2010-07-03 17:34 . 2010-02-28 09:58 16400 ----a-w- c:\windows\system32\drivers\LNonPnP.sys

2010-06-30 12:33 . 2006-03-02 12:00 149504 ----a-w- c:\windows\system32\schannel.dll

2010-06-28 20:57 . 2010-06-29 09:33 38848 ----a-w- c:\windows\avastSS.scr

2010-06-28 20:57 . 2010-05-06 18:03 165032 ----a-w- c:\windows\system32\aswBoot.exe

2010-06-28 20:39 . 2010-05-06 18:04 99280 ----a-w- c:\windows\system32\drivers\aswFW.sys

2010-06-28 20:39 . 2010-05-06 18:04 312912 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2010-06-28 20:38 . 2010-05-06 18:03 188168 ----a-w- c:\windows\system32\drivers\aswNdis2.sys

2010-06-28 20:37 . 2010-05-06 18:03 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-06-28 20:37 . 2010-05-06 18:04 165456 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-06-28 20:33 . 2010-05-06 18:03 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-06-28 20:32 . 2010-05-06 18:03 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2010-06-28 20:32 . 2010-05-06 18:03 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys

2010-06-28 20:32 . 2010-05-06 18:04 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-06-28 20:32 . 2010-05-06 18:03 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2010-06-25 18:59 . 2010-06-25 18:59 -------- d-----w- c:\program files\PokerTracker 3

2010-06-24 12:26 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2006-03-02 12:00 1852032 ----a-w- c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2006-03-02 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys

2010-06-19 13:14 . 2009-09-30 20:53 -------- d-----w- c:\program files\Common Files\Nokia

2010-06-19 13:13 . 2009-09-30 20:53 -------- d-----w- c:\program files\Nokia

2010-06-19 13:13 . 2010-06-19 13:13 12212040 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X86-ENU.exe

2010-06-19 13:13 . 2010-06-19 13:13 13930312 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMFDist11-WindowsXP-X64-ENU.exe

2010-06-19 13:13 . 2010-06-19 13:13 61440 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMF11Runx86.exe

2010-06-19 13:13 . 2010-06-19 13:13 77824 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\Run_XML6_SP1.exe

2010-06-19 13:13 . 2010-06-19 13:13 58880 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\WMF11Runx64.exe

2010-06-19 13:13 . 2010-06-19 13:13 50000 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Installer\CommonCustomActions\pcswpc.exe

2010-06-19 13:12 . 2010-06-19 13:12 -------- d-----w- c:\documents and settings\All Users\Application Data\OviInstallerCache

2010-06-19 13:12 . 2010-06-19 13:12 98366952 ----a-w- c:\documents and settings\All Users\Application Data\OviInstallerCache\{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}\Nokia_Ovi_Suite_PCS_Update.exe

2010-06-17 20:17 . 2010-06-17 20:17 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI

2010-06-17 20:14 . 2009-09-30 17:36 -------- d-----w- c:\program files\ATI Technologies

2010-06-17 19:19 . 2010-06-17 19:19 -------- d-----w- c:\program files\Common Files\PCSuite

2010-06-17 19:17 . 2010-06-17 19:17 -------- d-----w- c:\program files\PC Connectivity Solution

2010-06-17 19:16 . 2010-06-17 19:16 95232 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{18756A46-652E-4ED4-A029-C4940D59F09B}\Installer\CommonCustomActions\pcswpcsi.exe

2010-06-17 19:16 . 2010-06-17 19:16 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{18756A46-652E-4ED4-A029-C4940D59F09B}\Installer\CommonCustomActions\UninstCCD.exe

2010-06-17 19:16 . 2010-06-17 19:16 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{18756A46-652E-4ED4-A029-C4940D59F09B}\Installer\CommonCustomActions\UninstPCSFEMsi.exe

2010-06-17 19:16 . 2010-06-17 19:16 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{18756A46-652E-4ED4-A029-C4940D59F09B}\Installer\CommonCustomActions\UninstPCS.exe

2010-06-17 19:16 . 2009-09-30 20:52 -------- d-----w- c:\documents and settings\All Users\Application Data\Installations

2010-06-17 16:57 . 2010-06-17 19:16 35917760 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{18756A46-652E-4ED4-A029-C4940D59F09B}\Nokia_PC_Suite_rus_web.exe

2010-06-17 16:30 . 2010-06-17 16:29 -------- d-----w- c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

2010-06-17 16:25 . 2010-06-17 16:24 -------- d-----w- c:\program files\QuickTime

2010-06-17 16:22 . 2010-06-17 16:22 -------- d-----w- c:\program files\Apple Software Update

2010-06-17 15:46 . 2010-06-17 15:46 -------- d-----w- c:\program files\Bonjour

2010-06-17 14:03 . 2006-03-02 12:00 80384 ----a-w- c:\windows\system32\iccvid.dll

2010-06-14 17:14 . 2010-06-14 17:14 53248 ----a-r- c:\documents and settings\sveters\Application Data\Microsoft\Installer\{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}\ARPPRODUCTICON.exe

2010-06-14 14:31 . 2009-09-30 16:11 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-14 07:43 . 2006-03-02 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll

2010-06-13 18:46 . 2010-06-13 18:46 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2010-05-31 13:47 . 2010-05-31 13:47 1082880 ----a-w- c:\windows\system32\AutoPartNt.exe

2010-05-25 05:14 . 2010-05-25 05:14 503808 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-15b8a9a9-n\msvcp71.dll

2010-05-25 05:14 . 2010-05-25 05:14 499712 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-15b8a9a9-n\jmc.dll

2010-05-25 05:14 . 2010-05-25 05:14 348160 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-15b8a9a9-n\msvcr71.dll

2010-05-25 05:14 . 2010-05-25 05:14 61440 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6e1e9074-n\decora-sse.dll

2010-05-25 05:14 . 2010-05-25 05:14 12800 ----a-w- c:\documents and settings\sveters\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6e1e9074-n\decora-d3d.dll

2010-05-21 10:14 . 2009-10-02 21:33 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-18 12:35 . 2010-05-18 12:35 91424 ----a-w- c:\windows\system32\dnssd.dll

2010-05-18 12:35 . 2010-05-18 12:35 197920 ----a-w- c:\windows\system32\dnssdX.dll

2010-05-18 12:35 . 2010-05-18 12:35 107808 ----a-w- c:\windows\system32\dns-sd.exe

2009-09-30 21:10 . 2009-09-30 21:03 24 --sh--w- c:\windows\SD2BE105C.tmp

.

------- Sigcheck -------

[7] 2008-04-14 . 4379CA978CB35BB2458156B2B6CB35DF . 1571840 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\sfcfiles.dll

[7] 2008-04-14 . 4379CA978CB35BB2458156B2B6CB35DF . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\e6ee13bab691afad01f3e7fa891e3f3d\sfcfiles.dll

c:\windows\System32\sfcfiles.dll ... is missing !!

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\snxPluginsShell]

@="{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}"

[HKEY_CLASSES_ROOT\CLSID\{F4B3B0AA-13D1-4a36-BDA2-2055B0F3D5DE}]

2010-06-28 20:59 153184 ----a-w- c:\program files\Alwil Software\Avast5\snxPlugins.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TaskTray"="c:\program files\Creative\TaskBar\CTLTray.exe" [2001-06-28 163840]

"TaskBar"="c:\program files\Creative\TaskBar\CTLTask.exe" [2003-05-29 122880]

"Download Master"="c:\program files\Download Master\dmaster.exe" [2010-07-27 3803968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NokiaMServer"="c:\program files\Common Files\Nokia\MPlatform\NokiaMServer" [X]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

"PRONoMgr.exe"="c:\program files\Intel\NCS\PROSet\PRONoMgr.exe" [2003-03-11 86016]

"WINDVDPatch"="CTHELPER.EXE" [2009-06-23 19456]

"Jet Detection"="c:\program files\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-11-28 28672]

"CTStartup"="c:\program files\Creative\Splash Screen\CTEaxSpl.EXE" [2001-12-19 28672]

"CTHelper"="CTHELPER.EXE" [2009-06-23 19456]

"CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]

"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-02-16 87336]

"PDVD9LanguageShortcut"="c:\program files\CyberLink\PowerDVD9\Language\Language.exe" [2008-10-13 50472]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]

"OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2006-04-12 1261475]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-06-28 2837864]

"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-05-18 1311312]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2008-11-03 435096]

c:\documents and settings\All Users\ѓ« ў­®Ґ ¬Ґ­о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \

BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2010-8-7 1044480]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"Userinit"="c:\windows\system32\userinit.exe,userinit.exe,c:\windows\system32\b9070e7f.exe,c:\windows\system32\rtxdkm.exe,"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2010-01-29 21:17 64592 ----a-w- c:\program files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"UpdReg"=c:\windows\UpdReg.EXE

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\Common Files\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD Cinema\\PowerDVDCinema.exe"=

"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=

"c:\\Program Files\\ICQ6.5\\ICQ.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\QUIK_BCS\\winros.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5985:TCP"= 5985:TCP:*:Disabled:Удаленное управление Windows

"18432:TCP"= 18432:TCP

R0 aswNdis;avast! Firewall NDIS Filter Service;c:\windows\system32\drivers\aswNdis.sys [06.05.2010 22:03 12112]

R0 aswNdis2;avast! Firewall Core Firewall Service;c:\windows\system32\drivers\aswNdis2.sys [06.05.2010 22:03 188168]

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [24.09.2009 6:40 19592]

R1 aswFW;avast! TDI Firewall driver;c:\windows\system32\drivers\aswFW.sys [06.05.2010 22:04 99280]

R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [06.05.2010 22:04 312912]

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [06.05.2010 22:04 165456]

R1 uzm1nji2;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzm1nji2.sys [14.11.2009 19:12 11264]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06.05.2010 22:04 17744]

R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [01.10.2009 14:22 222968]

R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [30.09.2009 21:32 10448]

R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [13.03.2009 5:50 65536]

R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [23.06.2009 13:34 99352]

R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [23.06.2009 13:34 555032]

R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [23.06.2009 13:34 566296]

S2 avast! Firewall;avast! Firewall;c:\program files\Alwil Software\Avast5\afwServ.exe [06.05.2010 22:03 119200]

S2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [03.11.2006 19:19 13592]

S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [24.09.2009 14:38 22528]

S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [23.06.2009 13:34 99352]

S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [30.09.2009 23:46 79360]

S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [23.06.2009 13:34 555032]

S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [23.06.2009 13:35 100888]

S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [23.06.2009 13:35 100888]

S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [23.06.2009 13:34 566296]

S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [17.06.2009 15:01 25480]

S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [02.03.2006 16:00 14336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

WINRM REG_MULTI_SZ WINRM

.

Contents of the 'Scheduled Tasks' folder

2010-08-03 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 07:50]

2010-08-15 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAEXEC.exe [2009-08-03 11:07]

2010-08-15 c:\windows\Tasks\User_Feed_Synchronization-{1E725098-FE29-4259-8238-95DF93BB1BB5}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 00:31]

.

.

------- Supplementary Scan -------

.

uInternet Settings,ProxyOverride = *.local

IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000

IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm

IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm

IE: Передать на удаленную закачку DM - c:\program files\Download Master\remdown.htm

TCP: {0367B299-297A-426E-A76E-356F7E2C8E83} = 80.68.0.9,80.68.0.12

TCP: {257A60E8-5AC4-4BDA-BBBA-C944827970F0} = 80.68.0.9,80.68.0.12

DPF: {9E2CD2C3-4DDA-4473-B904-B8E6D0DBAB86} - hxxp://consumersupport.lenovo.com/smartdownloading/cab/npdueng.cab

.

**************************************************************************

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CTStartup = c:\program files\Creative\Splash Screen\CTEaxSpl.EXE /run???h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????? ??=3?????\??? ??? ???\???\???????????5?7~e?7~\???\?????????a??????C@?\???\??????s?? ?\??????s\????=3?A??s?=3??C@?x???`|?w\?????@

CTHelper = CTHELPER.EXE?

scanning hidden files ...

scan completed successfully

hidden files:

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1600)

c:\windows\system32\Ati2evxx.dll

c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll

.

Completion time: 2010-08-16 00:40:37

ComboFix-quarantined-files.txt 2010-08-15 20:40

Pre-Run: 181 272 444 928 байт свободно

Post-Run: 181 263 331 328 байт свободно

- - End Of File - - A95E245BC2BCD4D402A220F4AB0FE526

Забыл дописать - после завершения работы Combofix и перезагрузки компьютера попробовал снова запустить AVZ и свой (скачанный с инета) и Ваш. Они теперь даже и на десятую секунды перестали моргать (открываться) :)

[akoK]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::File::c:\windows\system32\rtxdkm.exec:\windows\system32\b9070e7f.exeFCopy::c:\windows\ServicePackFiles\i386\sfcfiles.dll|c:\windows\System32\sfcfiles.dllRegistry::[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]"Userinit"="c:\windows\system32\userinit.exe,

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Подготовьте еще комплект логов

[sveters]

Все сделал как написали, за что большое спасибо. Появился оптимизм - понимаю что это только начало но уже есть результат - AVZ и HijackThis запускаются, сайты грузятся. Правда еще не пробовал загрузить что либо с Майкрософт. Прикрепляю файлы с логами ComboFix, HijackThis и вчерашний лог ComboFix текст которого я приводил выше. Сейчас заметил теперь другую проблему связь стала почему то сама собой пропадать и появляться

ComboFix.txt

hijackthis.log

log.txt

ComboFix.txt

hijackthis.log

log.txt

[akoK]

Нужны еще логи AVZ.

[sveters]

Логи AVZ какие?

Просто запустить сканирование AVZ всех дисков?

[sveters]

Насчет логов сорри, моя невнимательность. Все прочитал, начинаю делать

[sveters]

С логами все получилось Прикрепил их к этому сообщению :)

virusinfo_syscheck.zip

virusinfo_syscure.zip

virusinfo_syscheck.zip

virusinfo_syscure.zip

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginClearQuarantine;SearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\Program Files\PokerStove\PokerStove.exe','');QuarantineFile('C:\DOCUME~1\sveters\LOCALS~1\Temp\NOSEventMessages.dll','');QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');DeleteFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys');BC_ImportALL; ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите на akok<at>pisem.net (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду ComboFix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

[sveters]

Все сделал как требовалось

Скрипт выполнил (компьютер только пришлось самому перегружать т.к. сам он не перегрузился)

Архив создал и разместил по указанной форме (архив разбил на 2 части т.к. размер одного файла превышал максимальный размер)

Папку C:\Qoobox\Quarantine\ запаковал и выслал Вам на почту.

ComboFix удалил и Clean up выполнил :)

Как только придет ответ по отправленному quarantine.zip сразу размещу его здесь на форуме.

ОГРОМНОЕ СПАСИБО ЗА ВАШУ ПОМОЩЬ И ПОДДЕРЖКУ!

[sveters]

Файл я отправил в лабораторию Касперского. От них пришел автоответ и все, больше от них писем нет. Возможно они не стали читать мое письмо т.к. архив прикрепленный к письму состоял из 2 файлов а не целого архива? Но у меня файл архива превышал максимальный размер прикрепляемого письма.

[akoK]

Ничего страшного. ЛК могут и не ответить, но добавить детект.

[sveters]

Все понял :blush2: Значит ждем :) Я вчера еще раз им отправил только запаковал уже зипом на всякий случай, но также 2 архива из за размера. А что значит добавить детект?

Мне нужно еще произвести какие либо действия с системой или мы (Вы) уже все вылечили?

[akoK]

Нет, мы уже закончили с лечением.

[Yezhishe]

что значит добавить детект?

Это значит, что сигнатура зловреда будет внесена в базу данных и в следующее обновление антивирусных баз.

[sveters]

Спасибо за помощь в лечении моей системы от вирусов, я считаю что Вы занимаетесь действительно очень полезным делом за которое Вам большое человеческое спасибо!

Если можно то хотел бы задать последний вопрос, для профилактики стоит выполнить этот скрипт - http://df.ru/~kad/ScanVuln.txt , или в нем нет надобности?

По детекту, мне такой ответ и казался логичным. Спасибо за разъяснение!