otvertka, просто логи будет чуть меннее информативными.

Pili, заново собрать логи или такие сойдут?

otvertka, сойдут, но лучше сформировать новые логи

Pili, сформировал логи строго по правилам

otvertka, Запустите IceSword (http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip), выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winah37.sys
C:\WINDOWS\System32\Drivers\Winap46.sys
C:\WINDOWS\System32\Drivers\Wincj03.sys
C:\WINDOWS\System32\Drivers\Wincr37.sys
C:\WINDOWS\System32\Drivers\Winct36.sys
C:\WINDOWS\System32\Drivers\Windk36.sys
C:\WINDOWS\System32\Drivers\Winfn25.sys
C:\WINDOWS\System32\Drivers\Winmd15.sys
C:\WINDOWS\System32\Drivers\Winpx80.sys
C:\WINDOWS\System32\Drivers\Winxn14.sys
C:\WINDOWS\System32\Drivers\Winya03.sys
C:\WINDOWS\System32\Drivers\Winyg81.sys

нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to..., потом удалите файлы с помощью force delete (прав. кн. мыши, на запрос подтверждения ответьте "да"), не перегружая компьютер выполните в AVZ скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Winyg81', 4);
SetServiceStart('Winya03', 4);
SetServiceStart('Winxn14', 4);
SetServiceStart('Winpx80', 4);
SetServiceStart('Winmd15', 4);
SetServiceStart('Winfn25', 4);
SetServiceStart('Windk36', 4);
SetServiceStart('Winct36', 4);
SetServiceStart('Wincr37', 4);
SetServiceStart('Wincj03', 4);
SetServiceStart('Winap46', 4);
SetServiceStart('Winah37', 4);
SetServiceStart('wscsvcSharedAccess', 4);
SetServiceStart('upnphosthelpsvc', 4);
SetServiceStart('TrkWkslanmanworkstation', 4);
SetServiceStart('SwPrvPolicyAgent', 4);
SetServiceStart('stisvcERSvcWZCSVC', 4);
SetServiceStart('stisvcERSvc', 4);
SetServiceStart('stisvcDcomLaunch', 4);
SetServiceStart('ServiceLayerProtectedStorageMessenger', 4);
SetServiceStart('ServiceLayerProtectedStorage', 4);
SetServiceStart('SamSsNetDDERasMan', 4);
SetServiceStart('SamSsNetDDEdsdm', 4);
SetServiceStart('SamSsNetDDE', 4);
SetServiceStart('RDSessMgrRDSessMgrMSIServer', 4);
SetServiceStart('RDSessMgrRDSessMgr', 4);
SetServiceStart('RDSessMgrProtectedStorage', 4);
SetServiceStart('RDSessMgrCOMSysAppRasMan', 4);
SetServiceStart('RasManNtmsSvc', 4);
SetServiceStart('PolicyAgentPlugPlay', 4);
SetServiceStart('PolicyAgentDnscacheProtectedStorage', 4);
SetServiceStart('oseTrkWks', 4);
SetServiceStart('ImapiServiceSamSs', 4);
SetServiceStart('EventSystemTapiSrv', 4);
SetServiceStart('DnscacheProtectedStorage', 4);
SetServiceStart('Dnscachelanmanserver', 4);
SetServiceStart('COMSysAppwuauserv', 4);
SetServiceStart('COMSysAppRasManhelpsvc', 4);
SetServiceStart('COMSysAppRasMan', 4);
SetServiceStart('BITSlanmanworkstation', 4);
SetServiceStart('ALGEventlog', 4);
QuarantineFile('srv.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\blphcrmuj0e14j.scr','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg81.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winya03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxn14.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpx80.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmd15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfn25.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windk36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winct36.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincr37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wincj03.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winap46.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winah37.sys','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winah37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winap46.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincr37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winct36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windk36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn25.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmd15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpx80.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxn14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winya03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg81.sys');
DeleteFile('C:\WINDOWS\system32\blphcrmuj0e14j.scr');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DelWinlogonNotifyByFileName('WinCtrl32.dll ');
DeleteService('Winyg81');
DeleteService('Winya03');
DeleteService('Winxn14');
DeleteService('Winpx80');
DeleteService('Winmd15');
DeleteService('Winfn25');
DeleteService('Windk36');
DeleteService('Winct36');
DeleteService('Wincr37');
DeleteService('Wincj03');
DeleteService('Winap46');
DeleteService('Winah37');
DeleteService('wscsvcSharedAccess');
DeleteService('upnphosthelpsvc');
DeleteService('TrkWkslanmanworkstation');
DeleteService('SwPrvPolicyAgent');
DeleteService('stisvcERSvcWZCSVC');
DeleteService('stisvcERSvc');
DeleteService('stisvcDcomLaunch');
DeleteService('ServiceLayerProtectedStorageMessenger');
DeleteService('ServiceLayerProtectedStorage');
DeleteService('SamSsNetDDERasMan');
DeleteService('SamSsNetDDEdsdm');
DeleteService('SamSsNetDDE');
DeleteService('RDSessMgrRDSessMgrMSIServer');
DeleteService('RDSessMgrRDSessMgr');
DeleteService('RDSessMgrProtectedStorage');
DeleteService('RDSessMgrCOMSysAppRasMan');
DeleteService('RasManNtmsSvc');
DeleteService('PolicyAgentPlugPlay');
DeleteService('PolicyAgentDnscacheProtectedStorage');
DeleteService('oseTrkWks');
DeleteService('ImapiServiceSamSs');
DeleteService('EventSystemTapiSrv');
DeleteService('DnscacheProtectedStorage');
DeleteService('Dnscachelanmanserver');
DeleteService('COMSysAppwuauserv');
DeleteService('COMSysAppRasManhelpsvc');
DeleteService('COMSysAppRasMan');
DeleteService('BITSlanmanworkstation');
DeleteService('ALGEventlog');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
ExecuteRepair(5);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip и архив с файлами, сформированными с помощью IceSword, отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
AVPTool можете деинсталлировать. Повторите логи

Pili, не нашел ни одного из этих файлов IceSword'ом и обычным проводником тоже:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winah37.sys
C:\WINDOWS\System32\Drivers\Winap46.sys
C:\WINDOWS\System32\Drivers\Wincj03.sys
C:\WINDOWS\System32\Drivers\Wincr37.sys
C:\WINDOWS\System32\Drivers\Winct36.sys
C:\WINDOWS\System32\Drivers\Windk36.sys
C:\WINDOWS\System32\Drivers\Winfn25.sys
C:\WINDOWS\System32\Drivers\Winmd15.sys
C:\WINDOWS\System32\Drivers\Winpx80.sys
C:\WINDOWS\System32\Drivers\Winxn14.sys
C:\WINDOWS\System32\Drivers\Winya03.sys
C:\WINDOWS\System32\Drivers\Winyg81.sys »

otvertka, ок, выполните скрипт, пришлите карантин и сформируйте новые логи.

Pili, выполнил скрипты, устранил проблемы, все нормально, спасибо большое!
отправил quarantine.zip на почту

повторно собираю логи
я могу уже ставить антивирус и отдавать комп?

логи:

otvertka, выполните ещё скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Winyg81', 4);
DeleteService('Winyg81');
DeleteFile('C:\WINDOWS\system32\Drivers\Winyg81.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winyg81');
BC_Activate;
RebootWindows(true);
end.
после перезагрузки запустите файл hijackthis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Остался ещё мусор от AVPTool, но это не страшно.
В карантине кроме 2 файлов lsass.exe и spoolsv.exe ничего не было (не считая ini), но эти 2 файла вызвали подозрение, файлы ушли на анализ, подождем ответа вирлаба.

Pili, Приветствую, у меня опять проблема:
включил автоматическое обновление, обновления скачались, винда попросила выключить комп для установки обновлений
выполнила 15 обновлений. после включения система виснет - синий бегунок зависает.
загрузка последней удачной конфигурации не помогает.
безопасный режим не работает показывает черный экран
могу загрузиться только с LiveCD MiniSV

проблема решилась сама собой, после загрузки с LiveCD
система заработала в обычном режиме
это нормально?:)

otvertka, т.к. было подозрение на заражение файлов lsass.exe и spoolsv.exe, если система загрузится и есть установочный диск, попробуйте выполнить sfc /scannow или установите систему в режиме восстановления -
Как выполнить обновление (переустановку) Microsoft Windows XP (http://support.microsoft.com/kb/315341/ru)
Способы восстановления системы (http://forum.oszone.net/thread-48381.html)
Ответа с вирлаба пока нет, попробуйте сами отправить карантин на newvirus[at]kaspersky.com, когда придет ответ, сообщите пожалуйста результаты.

Pili, пришел ответ newvirus[at]kaspersky.com:
lsass.exe_, spoolsv.exe_ - Trojan.Win32.Patched.cx Детектирование файлов будет добавлено в следующее обновление. Пожалуйста, при ответе включайте переписку целиком. -- С уважением, Евгений Асеев Вирусный аналитик Лаборатории Касперского.
что он имел в виду под словом переписка?

otvertka, можете применить рекомендации поста 32 - sfc /scannow, обновить базы AVP или скачать новую версию AVPTool и проверить компьютер.
что он имел в виду под перепиской? »
Если вы захотите что-либо уточнить, включайте предыдущую переписку целиком.

Pili, я поставил KIS7, обновился из кумулятивной базы
а вот через интернет не обновляется
в чем причина? или этот вопрос уже не для этой темы?

otvertka, причин может быть множество, начиная от лиц. ключа до проблем с настройками сети (прокси, файервол и т.д.)
Посмотрите тему Защита для корпоративных пользователей (http://forum.kaspersky.com/index.php?showforum=9), Ошибка обновления антивирусных баз (http://forum.kaspersky.com/index.php?showtopic=81717)

Pili, вот что мне ответили в Kaspersky Lab Support
Согласно информации по Вашему запросу, у Вас установлена не самая последняя версия нашего программного продукта. Лаборатория Касперского выпустила новую версию антивирусных продуктов персональной линейки (Kaspersky Internet Security 2009 ). Рекомендуем Вам скачать и установить последнюю версию установленного у Вас продукта. Это абсолютно бесплатно и не требует больших затрат по времени. Дело в том, что с выходом каждой новой версии мы стараемся исправить ошибки которые были выявлены в предыдущих. Эта версия содержит улучшения, существенно повышающие безопасность, надежность и производительность. Очень велика вероятность того, что в последней версии уже исправлена та ситуация, которая в данный момент возникла у Вас. В связи с этим рекомендуем Вам установить последнюю версию Kaspersky Internet Security 8.0.0.454.

otvertka, правильно пишут :)
Trojan.Win32.Patched.cx уже внесен в антивирусную базу KAV, файлы успешно лечатся (проверено), обновите антивирусную базу (или скачайте свежую версию AVPTool) и проверьте компьютер. После чего, для контроля чистоты, можете сформировать новые логи.

А где можно скачать KAV

http://www.kaspersky.ru/productupdates