САБЖ.
Прогнал систему CureIt, который изгнал кучу троянов, остальное что нашел почистил руками, система заработала пошустрее, но проблема все равно осталась.
С чего все началось сказать затрудняюсь, машинка не моя, попросили посмотреть (мопед не мой, я тока выложил объяву), avz пока должным образом не изучил, сам не справлюсь - прошу помощи)))

Привет. :)

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\program files\internet explorer\setupapi.dll','');
DeleteFile('c:\program files\internet explorer\setupapi.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Session Manager\AppCertDlls','DefaultVerifier');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Повторите логи

вотблин, и системных отображение включил, и скрытых... специально этот setupapi искал))))
сейчас сделаю логи.


ИТАК - система до сих пор тормозит, сайты антивирусников ожили. теперь еще до кучи на каждом сайте вылетает ИЕ-мессаджбокс что "страница имеет изъяни в системе безопасности и может быть опасна". Логи ниже

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

собсно вот..
Добавлю что проблемы остались - тормоза в общем, загрузка системы от 2-3х минут и больше, при этом ни процессор ни память не загружены. В ИЕ все еще вылетает сообщение о изъяне в странице на каждом сайте. как то так =(

сделайте плиз лог RSIT
посмотрим что еще может вашу систему тормозить

В СТУДИЮ!!

C:\Program Files\Common Files\wm удалить вручную
Выполните скрипт AVZ в безопасном режиме. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\idmzoz.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\idmzoz.sys');
DeleteFile('C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
и еще раз логи AVZ RSIRT в студию

После лечения смените все ваши пароли.

проблема не решена, все последние логи в студии.

вам было сказаноВыполните скрипт AVZ в безопасном режиме. »
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys','');
DeleteFile('C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
DeleteFile('C:\e5ur8tz4.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.
RSIT и AVZ 3 станд скрипт повторите

так же пришел ли ответ по карантину??

ответа по карантину не было, скрипт выполнял в безопасном режиме, логи собирал в нормальном. сейчас выполню - логи выложу.

з.ы. DeleteFile('C:\e5ur8tz4.exe'); == CureIt

з.з.ы. последний скрипт в безопасном режиме?

да в безопасном, курейт ок тогда удалите эту строку

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\dwshd.sys','');
DeleteFile('C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.

и лог RSIT повторите после..глянем прибили моноку или нет, если нет будем ее через CF или Avenger

моё субъективное мнение - физически монока прибита уже давно, ибо ни через эксплорер с отображением системных и скрытых не вижу, ни через тотал....
мне кажется что осталась просто запись в реестре
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^ХОУМ^Главное меню^Программы^Автозагрузка^monoca32.exe]
C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe []

логи ниже, система при загрузке обвеса (hp, avast и прочее) все равно безбожно тупит и грузит все энто несколько минут, да и при начальной загрузке успеваю выкурить сигарету а то и две=)).... окошко с ошибкой вылетающее в ИЕ исчезло. как то так

еще есть мысль что при начальной загрузке отупливать так систему могут лишь службы, соответсвенно запуститса в диагностическом без всех служб посмотреть на скорость. сейчас попробую убрать вообще весь обвес, а так же снести аваст к чертям вместе со всеми его службами, посмотр. что выйдет

да это запись в реестре просто

я только загрузил интернеты на зараженной машинке как про комбофикс уже ничего))))) я медлителен =(

upd

аваст снесен, обвес убран кроме утилита видеокарточки (только вместе с дровами убирается), система все равно грузитса по полчаса... буду пробовать диагностический.

upd2

В диагностическом без изменений... запускает 3 службы, две из который диспетчер RPC и Локатор RPC... мне кажется или этого не должно быть в диагностическом?

и еще есть некий файл drm.exe который тоже прописан в автозагрузке... так и не нашел к чему он относится

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

собсно

c:\documents and settings\ХОУМ\Application Data\Microsoft\Installer\{2517B7EA-6C03-4D86-A1B1-F3FE1C3BC03B}\ARPPRODUCTICON.exe
вам знакомо??

игры нево играете??

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::
File::
c:\documents and settings\NetworkService\Application Data\gqlidy.dat
c:\documents and settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe
c:\windows\pss\monoca32.exe

Driver::


Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:\Documents and Settings\ХОУМ\Главное меню\Программы\Автозагрузка\monoca32.exe]


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

и еще есть некий файл drm.exe »
взломщик к играм Нево софт, если не играете то удалить