Теперь что то белее гадкое чем всегда. Загруженная система, грузит svchost, отключить нельзя, ибо вырубается вся система. Google Chrome напрочь отказывается работать.
И вообще происходит полный без предел.
Всё что нашла Авира, она же удалила, но ситуации это не помогло.
В приложении логи AVZ и hijackthis
Надеюсь на помощь.
Ps: эта фигня удалила все точки восстановления системы....

Привет.
• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\mK1OXOX.exe,\\?\globalr oot\systemroot\system32\1GQ0f2l.exe,\\?\globalroot\systemroot\system32\Qqqibt3.exe,\\?\globalroot\sy stemroot\system32\3YyFshh.exe,\\?\globalroot\systemroot\system32\1AS7chS.exe,C:\WINDOWS\system32\2b4 9027a.exe,C:\WINDOWS\system32\uwfkkb.exe,
O4 - Startup: wwwznv32.exe

Сами прокси писали?Если нет, то тоже строку пофиксите:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 84.52.71.82:3128

Выполнить скрипт в авз: (http://virusnet.info/forum/showthread.php?t=10)

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\system32\2b49027a.exe','');
QuarantineFile('C:\DOCUME~1\1E86~1\LOCALS~1\Temp\~TM1B6.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\vmfilter303.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Bulk536.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Ca536av.sys','');
QuarantineFile('C:\WINDOWS\system32\uwfkkb.exe','');
QuarantineFile('C:\Documents and Settings\Михаил\Главное меню\Программы\Автозагрузка\wwwznv32.exe','');
DeleteFile('C:\Documents and Settings\Михаил\Главное меню\Программы\Автозагрузка\wwwznv32.exe');
DeleteFile('C:\WINDOWS\system32\uwfkkb.exe');
DeleteFile('C:\DOCUME~1\1E86~1\LOCALS~1\Temp\~TM1B6.tmp');
DeleteFile('C:\WINDOWS\system32\2b49027a.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','explorer');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.
После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
Скачайте AVZ 4.34 (http://z-oleg.com/secur/news/news1352.php)
Сделайте новые логи.
Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/forum/downloads.php?do=file&id=4&act=down). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Вот все что вы просили:
Файлы прикреплены к сообщению.

Надеюсь это то, что нужно:
Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

~TM1B6.tmp - Trojan-Ransom.Win32.PinkBlocker.bqx

В настоящий момент этот файл определяется антивирусом со свежими антивирусными базами.
Для разблокировки данной троянской программы Вы можете воспользоваться нашим сервисом:
http://support.kaspersky.ru/viruses/deblocker
http://support.kaspersky.ru/sms - с мобильных телефонов и коммуникаторов.

2b49027a.exe,
uwfkkb.exe - Backdoor.Win32.Shiz.gen

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

mdnsNSP.dll,
wwwznv32.exe

Файлы в процессе обработки.

setupapi.dll - Trojan.Win32.BHO.aihr

Детектирование файла будет добавлено в следующее обновление.

С уважением, Лаборатория Касперского

123060, Россия, Москва, 1-й Волоколамский проезд дом 10, стр 1
Тел./факс: + 7 (495) 797 8700
http://www.kaspersky.ru http://www.viruslist.ru

Выполните скрипт в авз:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Mozilla Firefox\setupapi.dll');
DeleteFile('C:\Program Files\Opera\setupapi.dll');
DeleteFile('C:\System Volume Information\_restore{80EB32C8-8F60-4E34-A4F3-014BFC4ADFD3}\RP2\A0002042.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Скачайте OTM by OldTimer (http://oldtimer.geekstogo.com/OTM.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=21&act=down) и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\bmzgkdr.exe
C:\WINDOWS\system32\rnmpvmf.exe
C:\WINDOWS\system32\hqwoovl.exe
C:\WINDOWS\system32\d4dd44c2.exe
C:\WINDOWS\system32\xexbicl.exe
C:\WINDOWS\system32\ketdmrz.exe
C:\WINDOWS\system32\Ymfl9tV.exe
C:\WINDOWS\system32\gWmZA6w.exe
C:\Program Files\Common Files\keylog.txt
C:\WINDOWS\system32\4HUmnLe.exe

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки запакуйте папку "C:\_OTM\MovedFiles", отправьте на Anti-Spyware2010atyandex.ru
с заменой at на @.Повторите логи.
Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные.... смотрите, что удаляете). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://www.malwarebytes.org/mbam/database/mbam-rules.exe)
Что с проблемами?:)

Я добавил еще один файл в скрипт.Если выполняли старый еще такой скрипт в авз:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\4HUmnLe.exe','');
DeleteFile('C:\WINDOWS\system32\4HUmnLe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
И только после этого логи повторите.

Проблемы не стало сразу после первого вашего поста.
Выполнил все что вы сказали.

mbam-log-2010-07-16 (18-35-09):
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Database version: 4318

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.07.2010 18:35:09
mbam-log-2010-07-16 (18-35-09).txt

Scan type: Full scan (C:\|)
Objects scanned: 235714
Time elapsed: 29 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 3
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 5

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\avz00006.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\bcqr00015.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Рабочий стол\avz4\Quarantine\2010-07-15\bcqr00016.dta (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{80EB32C8-8F60-4E34-A4F3-014BFC4ADFD3}\RP2\A0002046.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Михаил\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Логи приложены.

Создадите новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.+выполните скрипт в авз:
Логи RSIT новые приложите.
C:\WINDOWS\system32\drivers\vdk0mtqx.sys
Проверьте этот файл на www.virustotal.com и выложите ссылку на результаты.
Повторите логи. авз

Вот:

C:\WINDOWS\system32\drivers\vdk0mtqx.sys:
http://www.virustotal.com/ru/analisis/db84482a1c97084814b8c113519ca362362ee2047af5b2fea7fad733ce44d4f6-1279290988

Логи прикреплены.

Почистили точку восстановления системы?Повторите логи авз!

Вот....
не обновляется авира и блокируются все сайты популярных антивирусов.

_Darwin_, куда вы ушли в прошлый раз?:(
Пожалуйста, в этот раз не уходите.
Пофиксить:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\64cf360.exe,C:\WINDOWS\system32\tcwvue .exe,

Выполнить скрипт в авз:

begin
ExecuteRepair(20);
RebootWindows(true);
end.

Проблема должна исчезнуть, но:
Сделайте логи RSIT(я уже гворил как).

скрипт выполнил, но
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\64cf360.exe,C:\WINDOWS\system32\tcwvue .exe,
не желает фикситься, просто спрашивает да\нет при нажатии да список очищается, но после перезагрузки или следующей проверке ничего не меняется.
Проблема осталась.

логи RSIT и еще раз HiJackThis в прикреплении

Пофиксите эту строку:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\64cf360.exe,C:\WINDOWS\system32\tcwvue .exe,

Не перезагружая компьютер:
Скачайте OTM by OldTimer (http://oldtimer.geekstogo.com/OTM.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=21&act=down) и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
explorer.exe

:Services

:Files
C:\WINDOWS\system32\tcwvue.exe
C:\WINDOWS\system32\64cf360.exe
C:\WINDOWS\system32\opgqeln.exe
C:\WINDOWS\system32\rkbfety.exe
C:\WINDOWS\system32\rihdrlr.exe
C:\WINDOWS\system32\wcopsxa.exe
C:\WINDOWS\system32\avuolbg.exe
C:\WINDOWS\system32\wtqvqkk.exe
C:\WINDOWS\system32\jerdku.exe
C:\WINDOWS\system32\uazjcji.exe
C:\WINDOWS\system32\oxbeaas.exe
C:\WINDOWS\system32\wfpnmqf.exe
C:\WINDOWS\system32\ehbteqs.exe
C:\WINDOWS\system32\dherxgv.exe
C:\WINDOWS\system32\ueshnmf.exe
C:\WINDOWS\system32\yfqqloe.exe
C:\WINDOWS\system32\qwemxpx.exe
C:\WINDOWS\system32\umwnkwu.exe
C:\Program Files\Common Files\keylog.txt

:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.
Пуск - Выполнить - Вввести route -f, нажать ОК и перезагрузиться.
Повторите логи RSIT+авз.
Или вы считаете, если нет проблем, то повторить логи это пустая трата времени?:(

Проблемы больше нет. вроде

Выполните скрипт в авз:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hlykqoa.exe','');
QuarantineFile('abp480n5.sys','');
DeleteFile('C:\WINDOWS\system32\hlykqoa.exe');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторить логи RSIT.

выполнил, прикрепил

теперь я здоров? просто хочется быть уверенным, скоро буду делать бекап диска

_Darwin_, Да, всё ок.