Комп был полностью инфицирован разными вирусами включая sality.
касперский удалил вирусы, Combofix убрал руткита.
почистил hosts, остановил ненужные службы вручную.
заблокировано было все. восстановил с помощью авз.

Посмотрите, пожалуйста, логи.

Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Установите Internet Explorer 8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx) и Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) для Windows XP (потребуется активация)

Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

Запустите AVZ и обновите базы (Файл -> Обновление баз)
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\vaajol.exe ','');
DeleteFile('C:\Documents and Settings\Пользователь\vaajol.exe ');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.


Скачайте утилиту Sality Killer (http://support.kaspersky.ru/downloads/utils/salitykiller.zip).Распакуйте и запустите SalityKiller.exe, дождитесь окончания работы утилиты.

Скачайте Sality RegKeys (http://support.kaspersky.ru/downloads/utils/sality_regkeys.zip).
Распакуйте и запустите эти файлы:
Disable autorun.reg - отключает автозапуск со съемных носителей
SafeBootWinXP.reg - восстанавливает запуск в безопасном режиме (Safe Boot)

В обоих случаях нажмите Да для подтверждения добавления информации в реестр

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Подготовьте лог RSIT:
Скачайте RSIT (http://www.virusnet.info/random/RSIT.exe) или c зеркала (http://images.malwareremoval.com/random/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Fedin,
логи

Вы сегодня устанавливали драйвера ATI?

Рекомендации выполнили? SalityKiller запускали?

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\003019_.tmp','');
QuarantineFile('C:\WINDOWS\system32\97efff.exe','');
QuarantineFile('C:\WINDOWS\system32\wmicvrts.exe','');
DeleteFile('C:\WINDOWS\system32\wmicvrts.exe');
DeleteFile('C:\WINDOWS\system32\97efff.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5');
RegKeyParamDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg','Microsoft(R) System Manager');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.

Fedin, Вы сегодня устанавливали драйвера ATI? »
нет. драва не ставил. все рекомендации выше выполнил.

Fedin,
C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe

здесь по-прежнему появляется этот файл

отправил на virustotal - все чисто

C:\DOCUME~1\86C2~1\LOCALS~1\Temp\RtkBtMnt.exe
здесь по-прежнему появляется этот файл
отправил на virustotal - все чисто »
Ничего страшного, он от Realtek.

Что с проблемами?Как работает система?

Каким из этих антивирусов пользуетесь?Удалите ненужный.
avast! Antivirus
Symantec AntiVirus Corporate Edition

Обновите Adobe Reader до 9-й версии (http://get.adobe.com/reader/)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Fedin,
Что с проблемами?Как работает система? »
все хорошо.

Каким из этих антивирусов пользуетесь?Удалите ненужный. »
пользуюсь avast! Antivirus. symantec не удается убрать.
пробовал через консоль удаление, прерывается и закрывается.
убрал все ключи в реестре связанных с этой прогой, запустил symantec uninstall, вроде бы проработала удалила якобы все службы, но по логам видно остатки все таки.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. »

все чисто, ничего не нашел

Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selected
нажмите No, если вы хотите оставить ваши сохраненные пароли.

Создайте новую контрольную точку восстановления и удалите зараженную:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно - Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.



Для предотвращения заражения рекомендую вам придерживаться этих правил:
1.Не работайте с правами администратора
2.Используйте браузер Firefox с дополнением NoScript (https://addons.mozilla.org/ru/firefox/addon/722/)
Если вы используете браузер Internet Explorer, отключите в нем ActiveX (Сервис -> свойства обозревателя -> безопасность -> другой -> запуск элементов ActiveX и модулей подключения
3.Устанавливайте все важные обновления Windows.
4.Ежедневно обновляйте антивирусные базы.