Как все это у меня началось (не знаю связано ли одно с другим) - после того как моя флешка побывала на компе в инет кафе, она стала странно себя вести. При открытии флешки начала выскакивать надпись "Вставьте диск в устройство \device\harddisk2\dr13", удалить что либо на ней стало не возможно, так же как и отформатировать её целиком. Eset smart security находил вирусы: "объект G\weuvie.scr
Win32\autorun.vb.iq червь" но удалить их не мог. Догло рылся в нете чтобы найти что нибудь для воосстановления/форматирования флешек. Так же сканировал комп и нод-ом, и с помощью CureIt, но так ничего и не помогло. Плюнул на флешку.

Позже, через несколько дней, то есть сегодня, заметил что программа Punto Switcher куда то исчезла. На запуск вручную не реагирует. Переустановка тоже не помогла. В Process Explorer-e видно что процесс punto.exe появляется и через пару секунд исчезает. Появились подозрения. Установил Malwarebytes' Anti-Malware - оказалась что происходит тоже самое , запускается, даже появляется окно программы, но почти сразу оно исчезает. Установил Trojan Remover. Он установился и нормально запустился - но ничего не нашел. Также заметил что eset smart security выдает ошибку при попытке обновления, хотя обновлялся только вчера. После уже попал на этот сайт. Пытался скачать kidokiller, но по этой ссылке http://www.kaspersky.ru/support/downloads/utils/kk.zip не качалось, нашел другие, но программа тоже ничего не нашла. Потом AVZ, c сайта разработчика не качалось , в браузере появлялось Not Implemented.
The method specified in the request is not implemented for requested resource.
httpd
Хотя сайты различных антивирусов открываются нормально. В итоге скачал с айфолдера, но на запуск приложение никак не реагирует. Там файл game.pif, насколько я понимаю он переименован так чтобы не блокироваться вирусами. Выходит не срабатывает?
Выкладываю лог hijackthis.
Был бы очень признателен за помощь

PS И ещё один вопрос не относящийся к теме если можно: должно ли быть в исключениях брандмауэра виндоус (XP) стоять исключение: Запуск библиотеки DLL как приложения
C:\WINDOWS\system32\rundll32.exe
или его стоит убрать?

----
Собирался поставить свеже скаченный CureIt на проверку , на ночь. Но при нажатии пуск он спрашивает насчет быстрой проверки и после нажатия "ок" почти моментально появляется сообщение о том что вирусов не обнаружено, а того окна которое появлялось раньше, где можно было выбрать полную проверку - больше нету. Остается только окно с предложением купить полную версию. Это тоже проделки вируса?

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

Проверил комп с помощью комбофикс. Вначале ругался на то что не отключен "ashampoo antivirus". Хотя такого на компьютере нет. Правда когда-то давно я устанавливал его. Но в любом случае я его удалял. В процессах ничего от него не заметил, поиск по компьютеру со словом ashampoo тоже ничего не дал. После выдал "Cd emulation drivers are running on this machine. Combo fix needs to temprorarely disable them" и перезагрузился. Включаясь выдал сообщение что не установлена recovery console, и предложил скачать её. Но интернет сегодня днем у меня не работал, поэтому пришлось отказаться.
Проверку на всякий случай сделал ещё одни раз, надеясь что этого призрачного ashampoo antivirus-а не будет, но сообщение о включенном антивирусе все равно появилось. Поэтому в архиве 2 ComboFix.txt
И ещё странность - заметил что исчезла языковая панель после комбофикса. Включил её заново. После перезагрузки оказалось что Punto Switcher включен. И оказалось что в автозагрузке он почему-то 2 раза. Попробовал убить процесс и запустить заново - но нет, больше он не запускаестя, ни в ручную, ни после перезагрузки. Ради интереса попробовал поставить на автозагрузку сразу несколько копий avz - но он все равно не запустился.

Попробуйте сделать логи полиморфным AVZ (февральская сборка, ссылка в моей подписи)

Тоже не запускается. В Process Explorer-е иногда бывает видно что он запускается и моментально исчезает.

А если попробовать такой AVZ (http://gjf.hotbox.ru/mink.pif)?

А он запустился. Сейчас сделаю проверку. А чем он отличается, просто любопытно?

Сделал, прикрепил файлы. Правда не смог обновить базы как было написано в инструкциях, так как пункт "Файл - Обновление баз" в программе серый

Обновление баз в этом AVZ недоступно.

У Вас был Kates. Смените все пароли как можно быстрее

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Nomad\LOCALS~1\Temp\mygpyub.bak','');
DeleteFile('C:\DOCUME~1\Nomad\LOCALS~1\Temp\mygpyub.bak');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end. quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Просьба: когда придет ответ из вирлаба с номером KLAN, сообщите его, пожалуйста
Также отправьте архив с карантином на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему

Сделайте новые логи (обычный AVZ уже должен запуститься)

Да, теперь все заработало. Большое спасибо. Архив с вирусом отправил. Когда придет ответ отпишусь.
PS В типе запроса нужно было выбрать неизвестная вредоносная программа, или запрос на описание? Я выбрал первое.

Лог HiJack тоже сделайте новый

Ок.
Ответ от вирлаба пока не пришёл

Пофиксите в HiJack
O9 - Extra button: (no name) - DctMapping - (no file)
O20 - AppInit_DLLs: winmm.dllБольше ничего плохого

Установите Adobe Acrobat 9.3 (www.adobe.com/products/acrobat/) или удалите старый