Добрый день!

Прошу помочь вылечить знакомого от вирусов. Пробовал сам покопаться, вроде бы удалишь их, а они снова появляются :(
Симптомы: во временных папках создаются файлы с разными именами - dsbjcv.exe, hkuow.exe и т.д. Кто-то постоянно мониторит реестр (хотя в процессах не видно) - идет запрет на вызов диспетчера задач и редактирование реестра.

Операционка установлена сегодня. Вирусы посыпались в рабочую систему со второго винта (который не форматировался).

Надеемся на вашу помощь :)

Выполните скрипт

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('abp470n5');
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\pjrlt.sys','');
DeleteService('abp470n5');
QuarantineFile('E:\ВСЯКАЯ ФИГНЯ\.exe','');
QuarantineFile('E:\GGXX\ggxx.exe.bak','');
QuarantineFile('c:\docume~1\user\locals~1\temp\rwoarv.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\winrgekn.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\winrgekn.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\rwoarv.exe');
DeleteFile('E:\GGXX\ggxx.exe.bak');
DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP374\A0388278.EXE');
DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP375\A0392310.EXE');
DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP375\A0395133.EXE');
DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP376\A0405219.EXE');
DeleteFile('E:\System Volume Information\_restore{B711D1F1-C38B-4589-8DC5-748783E6ED35}\RP376\A0408082.EXE');
DeleteFile('E:\ВСЯКАЯ ФИГНЯ\.exe');
QuarantineFile('c:\docume~1\user\locals~1\temp\hkuow.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\dsbjcv.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\dsbjcv.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\hkuow.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pjrlt.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('abp470n5');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.


DNS ваши? NameServer = 87.103.161.61 62.33.133.2
Если нет, то пофиксите в HiJackTyis

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C6CD478-C9B2-497B-8615-F9A26DB816FA}: NameServer = 87.103.161.61 62.33.133.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C6CD478-C9B2-497B-8615-F9A26DB816FA}: NameServer = 87.103.161.61 62.33.133.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{0C6CD478-C9B2-497B-8615-F9A26DB816FA}: NameServer = 87.103.161.61 62.33.133.2


Логи повторить

thyrannosaurus, с карантином что делать?

А ничего пока. Уж не знаю, принято ли отправлять его на этом форуме на newvirus@kaspersky.com. Я пока не любитель ковыряться в зараженных файлах. Что с проблемами?

Уж не знаю, принято ли отправлять его на этом форуме »
Принято.

Ну раз принято тогда
D_Master, выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'virus.zip');
end.

Отправьте файл virus.zip из папки AVZ на newvirus@kaspersky.com В теле письма сообщите, что пароль на архив "virus" без кавычек. Когда придет ответ, перескажите его своими словами.

Карантин отправил, прикрепляю новые логи.

Файл E:\ВСЯКАЯ ФИГНЯ\.exe я из карантина удалил по трём причинам:
1. Его размер - 70 мегабайт.
2. Это SFX-архив
3. Архив абсолютно чистый, в нем находятся карты для Counter-Strike.

TeamViewer Remote Control - сами ставили?

Скачайте Icesword (http://ifolder.ru/6493654)
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файл руткита:
C:\WINDOWS\system32\drivers\pjrlt.sys
Нажмите по нему правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
Перезагрузите компьютер.


AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\pjrlt.sys','');
QuarantineFile('c:\docume~1\user\locals~1\temp\yagv.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\winabsj.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\winabsj.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\yagv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pjrlt.sys');
DeleteService('abp470n5');
BC_ImportALL;
ExecuteRepair(6);
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

И повторите логи AVZ

Ваш провайдер?

62.33.133.0 - 62.33.133.255

(IR000879) ElsvyazBuryatia,
Ulan-Ude, Russia
Россия

TeamViewer Remote Control - сами ставили? »
Да, компьютер не мой - логи делаем через ТимВивер.
Ваш провайдер? »
Да, Бурятское подразделение Сибирьтелекома.

Логи будут чуть позже. От Касперского ответ ещё не пришел.

Новые логи. Ответ из ЛК так и не пришел. Файл C:\WINDOWS\system32\drivers\pjrlt.sys Icesword не нашел.

D_Master, С помощью cureit и AVPTool систему проверяли? Возможно система заражена файловым вирусом, об этом свидетельствует наличие драйвера abp470n5, бороться с файловым вирусом с помощью avz и др. подобных утилит бессмысленно, см. метод лечения системы от файловых вирусов (http://forum.oszone.net/post-780845-7.html), сканировать c помошью AVPTool и CureIt до тех пор, пока вирусы не перестанут находится - лучше с LiveCD - Dr.Web LiveCD (http://www.freedrweb.com/livecd/). Второй винт пока отключите и/или проверьте отдельно.
По логам я не увидел в системе установленного антивируса, рекомендую установить, например Avira AntiVir (http://www.free-av.com/en/download/index.html)
проверьте на virustotal.com файлы
C:\DOCUME~1\User\LOCALS~1\Temp\iqmart.exe
C:\DOCUME~1\User\LOCALS~1\Temp\mtlokp.exe
C:\DOCUME~1\User\LOCALS~1\Temp\winjuou.exe
C:\DOCUME~1\User\LOCALS~1\Temp\winjiwr.exe
Рекомендую почистить все файлы из временных папок с помощью ATF Cleaner, в правилах об этом есть.
Проверьте файлы, не прошедшие проверку по базе безопасных AVZ, например
c:\windows\explorer.exe
c:\windows\soundman.exe
C:\WINDOWS\system32\sfc_os.dll
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\WINDOWS\system32\ntoskrnl.exe
c:\program files\visualtasktips\visualtasktips.exe
C:\Program Files\Punto Switcher\punto.exe
c:\documents and settings\user\Рабочий стол\Ет над оставить\qip infium\profiles\grinderss23\rcvdfiles\d_master_393695425\teamviewer.exe
VistaDriveIcon рекомендую деинсталлировать.
Отключите временно общие ресурсы, если такие есть, отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows и уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам и все неизвестные программы, там много и вероятно все зловреды:
"C:\DOCUME~1\User\LOCALS~1\Temp\winomgf.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winomgf.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winklxupd.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winklxupd.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winkqnuq.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winkqnuq.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winnwpr.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winnwpr.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\sffjj.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\sffjj.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winlrvb.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winlrvb.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\sgvr.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\sgvr.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\sope.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\sope.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\xgjyg.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\xgjyg.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winalvd.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winalvd.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\ucxbe.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\ucxbe.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\jwso.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\jwso.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\wincavo.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\wincavo.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\dnnt.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\dnnt.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winweoty.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winweoty.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\gnihh.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\gnihh.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winifvp.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winifvp.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winpmpy.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winpmpy.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winjiuvk.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winjiuvk.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winqawhr.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winqawhr.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\wodr.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\wodr.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\nitxi.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\nitxi.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\muolsm.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\muolsm.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winlmffku.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winlmffku.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\jddgs.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\jddgs.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winujpvvk.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winujpvvk.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winkckwkj.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winkckwkj.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\cyjjw.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\cyjjw.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\ppxtb.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\ppxtb.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\dsbjcv.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\dsbjcv.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\hkuow.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\hkuow.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\jogbh.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\jogbh.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winrgekn.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winrgekn.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\rwoarv.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\rwoarv.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\xshq.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\xshq.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\wineplms.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\wineplms.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\wincwdr.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\wincwdr.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winwxrtxl.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winwxrtxl.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winabsj.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winabsj.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\yagv.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\yagv.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winfioi.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winfioi.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\xukn.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\xukn.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winnqmdtl.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winnqmdtl.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\kkhty.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\kkhty.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\nmmfk.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\nmmfk.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\ktpcfi.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\ktpcfi.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winljstp.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winljstp.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\xpdw.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\xpdw.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winljani.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winljani.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\mphs.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\mphs.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\psui.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\psui.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winfhjiw.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winfhjiw.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winrukcf.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winrukcf.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winlfjpei.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winlfjpei.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winpiwb.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winpiwb.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\jbpmjl.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\jbpmjl.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winsbkb.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winsbkb.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\xepx.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\xepx.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winmxdtk.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winmxdtk.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\ccmu.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\ccmu.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\eurw.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\eurw.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\vegtxg.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\vegtxg.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\windbev.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\windbev.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winjawsx.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winjawsx.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winvekw.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winvekw.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\jnrq.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\jnrq.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\umgaki.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\umgaki.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\alvcoj.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\alvcoj.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winlmegj.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winlmegj.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\wincecsjg.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\wincecsjg.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\kxaqw.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\kxaqw.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winaohiho.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winaohiho.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winiiimad.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winiiimad.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\pfbpc.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\pfbpc.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\vghb.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\vghb.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winknxxai.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winknxxai.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\trjpet.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\trjpet.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winmkkugm.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winmkkugm.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winqytqfa.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winqytqfa.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winckstyi.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winckstyi.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\gcwlfo.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\gcwlfo.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\winghovbd.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\winghovbd.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\wincvrm.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\wincvrm.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\iqmart.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\iqmart.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\mtlokp.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\mtlokp.exe:*:Enabled:ipsec"
"C:\DOCUME~1\User\LOCALS~1\Temp\wygyk.exe"="C:\DOCUME~1\User\LOCALS~1\Temp\wygyk.exe:*:Enabled:ipsec"
Если cureit и AVPTool не пределят эти файлы как вредоносные, запакуйте их с паролем "virus" и отправьте на newvirus@kaspersky.com и ещё можете в вирлаб DrWeb (http://vms.drweb.com/sendvirus/), через некоторое время, как обновяться базы, проверьте соответствующим антивирусом.
Выполните в AVZ скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\user\locals~1\temp\wintcoy.exe');
TerminateProcessByName('c:\docume~1\user\locals~1\temp\poxhq.exe');
StopService('abp470n5');
SetServiceStart('abp470n5', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\pjrlt.sys','');
QuarantineFile('c:\docume~1\user\locals~1\temp\wintcoy.exe','');
QuarantineFile('c:\docume~1\user\locals~1\temp\poxhq.exe','');
DeleteFile('c:\docume~1\user\locals~1\temp\poxhq.exe');
DeleteFile('c:\docume~1\user\locals~1\temp\wintcoy.exe');
DeleteFile('C:\WINDOWS\system32\drivers\pjrlt.sys');
DeleteFileMask('c:\docume~1\user\locals~1\temp\', '*.*', true);
DeleteFileMask('%Tmp%', '*.*', true);
DeleteService('abp470n5');
BC_DeleteFile('C:\WINDOWS\system32\drivers\pjrlt.sys');
BC_DeleteSvc('abp470n5');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(17);
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end.
После проверки по этой методике (http://forum.oszone.net/post-780845-7.html) и выполнения скрипта ещё раз проверьте выборочно системные файлы, если вирусы не будут обнаруживаться, повторите логи AVZ, RSIT, дополнительно
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm) здесь (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) или здесь (http://www.downloads.andymanchesta.com/RemovalTools/SDFix.zip), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) и здесь (http://virusnet.info/forum/showthread.php?t=512)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Карантин пришел пустой.