[LSA Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Lsa )-----
"Authentication packages" - "Microsoft Corporation" - C:\WINDOWS\system32\msv1_0.dll
"Notification packages" - "Корпорация Майкрософт" - C:\WINDOWS\system32\scecli.dll
"Security Packages" - "Microsoft Corporation" - C:\WINDOWS\system32\kerberos.dll
"Security Packages" - "Microsoft Corporation" - C:\WINDOWS\system32\msv1_0.dll
"Security Packages" - "Microsoft Corporation" - C:\WINDOWS\system32\schannel.dll
"Security Packages" - "Microsoft Corporation" - C:\WINDOWS\system32\wdigest.dll
-----( HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders )-----
"SecurityProviders" - "Корпорация Майкрософт (Microsoft Corp.)" - C:\WINDOWS\system32\msapsspc.dll
"SecurityProviders" - "Microsoft Corporation" - C:\WINDOWS\system32\schannel.dll
"SecurityProviders" - "Корпорация Майкрософт" - C:\WINDOWS\system32\digest.dll
"SecurityProviders" - "Корпорация Майкрософт" - C:\WINDOWS\system32\msnsspc.dll

[Logon]
-----( %AllUsersProfile%\Главное меню\Программы\Автозагрузка )-----
"desktop.ini" - ? - C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\desktop.ini
"ShadowUser Pro Edition.lnk" - "ShadowStor, Inc." - C:\Program Files\ShadowStor\ShadowUser\ShadowUser.exe (Shortcut exists | File exists)
-----( %UserProfile%\Главное меню\Программы\Автозагрузка )-----
"desktop.ini" - ? - C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\desktop.ini
"_uninst_AVPTool_setup_9.0.0.722_14.11.2010_10-15.exe.lnk" - ? - C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\_uninst_AVPTool_setup_9.0.0.722_14.11.2010_10-15.exe.lnk (Shortcut exists | File not found)
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"sdasetup_Spyware Doctor" - ? - C:\Documents and Settings\Admin\Рабочий стол\sdasetup_Spyware Doctor.exe -min (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"Shell" - "Корпорация Майкрософт" - C:\WINDOWS\Explorer.exe
"Userinit" - "Корпорация Майкрософт" - C:\WINDOWS\system32\userinit.exe
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - "Microsoft Corporation" - C:\WINDOWS\system32\rdpclip.exe
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avast5" - "AVAST Software" - "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
"SuNotification" - "ShadowStor Corporation" - C:\Program Files\ShadowStor\ShadowUser\suatshut.exe

[Network Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order )-----
"Microsoft Windows Network" - "Корпорация Майкрософт" - C:\WINDOWS\System32\ntlanman.dll
"Web Client Network" - "Корпорация Майкрософт" - C:\WINDOWS\System32\davclnt.dll
"Службы терминалов Microsoft" - "Microsoft Corporation" - C:\WINDOWS\System32\drprov.dll

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"BJ Language Monitor" - "Корпорация Майкрософт" - C:\WINDOWS\system32\cnbjmon.dll
"Local Port" - "Корпорация Майкрософт" - C:\WINDOWS\system32\localspl.dll
"PJL Language Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\pjlmon.dll
"Standard TCP/IP Port" - "Корпорация Майкрософт" - C:\WINDOWS\system32\tcpmon.dll
"USB Monitor" - "Microsoft Corporation" - C:\WINDOWS\system32\usbmon.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avast! Antivirus" (avast! Antivirus) - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
"avast! Mail Scanner" (avast! Mail Scanner) - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
"avast! Web Scanner" (avast! Web Scanner) - "AVAST Software" - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
"DHCP-клиент" (Dhcp) - "Корпорация Майкрософт" - C:\WINDOWS\System32\dhcpcsvc.dll
"DNS-клиент" (Dnscache) - "Корпорация Майкрософт" - C:\WINDOWS\System32\dnsrslvr.dll
"FSWWJXAKPBU" (FSWWJXAKPBU) - "Sysinternals - www.sysinternals.com" - C:\DOCUME~1\Admin\LOCALS~1\Temp\FSWWJXAKPBU.exe
"HASP Loader" (HASP Loader) - "Aladdin Knowledge Systems" - C:\WINDOWS\system32\nhsrvice.exe
"MS Software Shadow Copy Provider" (SwPrv) - "Microsoft Corporation" - C:\WINDOWS\system32\dllhost.exe
"NetMeeting Remote Desktop Sharing" (mnmsrvc) - "Корпорация Майкрософт" - C:\WINDOWS\system32\mnmsrvc.exe
"Plug and Play" (PlugPlay) - "Корпорация Майкрософт" - C:\WINDOWS\system32\services.exe
"QoS RSVP" (RSVP) - "Microsoft Corporation" - C:\WINDOWS\system32\rsvp.exe
"Secondary Logon" (seclogon) - "Корпорация Майкрософт" - C:\WINDOWS\System32\seclogon.dll
"Telnet" (TlntSvr) - "Корпорация Майкрософт" - C:\WINDOWS\system32\tlntsvr.exe
"Windows Audio" (AudioSrv) - "Microsoft Corporation" - C:\WINDOWS\System32\audiosrv.dll
"Windows Installer" (MSIServer) - "Microsoft Corporation" - C:\WINDOWS\system32\msiexec.exe
"Автоматическое обновление" (wuauserv) - "Microsoft Corporation" - C:\WINDOWS\system32\wuauserv.dll
"Адаптер производительности WMI" (WmiApSrv) - "Корпорация Майкрософт" - C:\WINDOWS\system32\wbem\wmiapsrv.exe
"Беспроводная настройка" (WZCSVC) - "Корпорация Майкрософт" - C:\WINDOWS\System32\wzcsvc.dll
"Брандмауэр Windows/Общий доступ к Интернету (ICS)" (SharedAccess) - "Корпорация Майкрософт" - C:\WINDOWS\System32\ipnathlp.dll
"Веб-клиент" (WebClient) - "Microsoft Corporation" - C:\WINDOWS\System32\webclnt.dll
"Диспетчер авто-подключений удаленного доступа" (RasAuto) - "Microsoft Corporation" - C:\WINDOWS\System32\rasauto.dll
"Диспетчер логических дисков" (dmserver) - "Корпорация Майкрософт" - C:\WINDOWS\System32\dmserver.dll
"Диспетчер очереди печати" (Spooler) - "Microsoft Corporation" - C:\WINDOWS\system32\spoolsv.exe
"Диспетчер подключений удаленного доступа" (RasMan) - "Microsoft Corporation" - C:\WINDOWS\System32\rasmans.dll
"Диспетчер сеанса справки для удаленного рабочего стола" (RDSessMgr) - "Корпорация Майкрософт" - C:\WINDOWS\system32\sessmgr.exe
"Диспетчер учетных записей безопасности" (SamSs) - "Microsoft Corporation" - C:\WINDOWS\system32\lsass.exe
"Журнал событий" (Eventlog) - "Корпорация Майкрософт" - C:\WINDOWS\system32\services.exe
"Журналы и оповещения производительности" (SysmonLog) - "Корпорация Майкрософт" - C:\WINDOWS\system32\smlogsvc.exe
"Запуск серверных процессов DCOM" (DcomLaunch) - "Microsoft Corporation" - C:\WINDOWS\system32\rpcss.dll
"Защищенное хранилище" (ProtectedStorage) - "Microsoft Corporation" - C:\WINDOWS\system32\lsass.exe
"Инструментарий управления Windows" (winmgmt) - "Корпорация Майкрософт" - C:\WINDOWS\system32\wbem\WMIsvc.dll
"Источник бесперебойного питания" (UPS) - "Microsoft Corporation" - C:\WINDOWS\System32\ups.exe
"Клиент отслеживания изменившихся связей" (TrkWks) - "Microsoft Corporation" - C:\WINDOWS\system32\trkwks.dll
"Координатор распределенных транзакций" (MSDTC) - "Microsoft Corporation" - C:\WINDOWS\system32\msdtc.exe
"Локатор удаленного вызова процедур (RPC)" (RpcLocator) - "Microsoft Corporation" - C:\WINDOWS\system32\locator.exe
"Модуль поддержки NetBIOS через TCP/IP" (LmHosts) - "Microsoft Corporation" - C:\WINDOWS\System32\lmhsvc.dll
"Обозреватель компьютеров" (Browser) - "Microsoft Corporation" - C:\WINDOWS\System32\browser.dll
"Определение оборудования оболочки" (ShellHWDetection) - "Корпорация Майкрософт" - C:\WINDOWS\System32\shsvcs.dll
"Планировщик заданий" (Schedule) - "Корпорация Майкрософт" - C:\WINDOWS\system32\schedsvc.dll
"Поставщик поддержки безопасности NT LM" (NtLmSsp) - "Microsoft Corporation" - C:\WINDOWS\system32\lsass.exe
"Протокол HTTP SSL" (HTTPFilter) - "Microsoft Corporation" - C:\WINDOWS\System32\w3ssl.dll
"Рабочая станция" (lanmanworkstation) - "Microsoft Corporation" - C:\WINDOWS\System32\wkssvc.dll
"Расширения драйверов WMI (Windows Management Instrumentation)" (Wmi) - "Корпорация Майкрософт" - C:\WINDOWS\System32\advapi32.dll
"Сервер" (lanmanserver) - "Microsoft Corporation" - C:\WINDOWS\System32\srvsvc.dll
"Сервер папки обмена" (ClipSrv) - "Microsoft Corporation" - C:\WINDOWS\system32\clipsrv.exe
"Сетевой вход в систему" (Netlogon) - "Microsoft Corporation" - C:\WINDOWS\system32\lsass.exe
"Сетевые подключения" (Netman) - "Корпорация Майкрософт" - C:\WINDOWS\System32\netman.dll
"Система событий COM+" (EventSystem) - "Microsoft Corporation" - C:\WINDOWS\system32\es.dll
"Системное приложение COM+" (COMSysApp) - "Microsoft Corporation" - C:\WINDOWS\system32\dllhost.exe
"Служба COM записи компакт-дисков IMAPI" (ImapiService) - "Корпорация Майкрософт" - C:\WINDOWS\system32\imapi.exe
"Служба администрирования диспетчера логических дисков" (dmadmin) - "Корпорация Microsoft и VERITAS Software" - C:\WINDOWS\System32\dmadmin.exe
"Служба восстановления системы" (srservice) - "Корпорация Майкрософт" - C:\WINDOWS\system32\srsvc.dll
"Служба времени Windows" (W32Time) - "Корпорация Майкрософт" - C:\WINDOWS\system32\w32time.dll
"Служба загрузки изображений (WIA)" (stisvc) - "Корпорация Майкрософт" - C:\WINDOWS\system32\wiaservc.dll
"Служба индексирования" (CiSvc) - "Microsoft Corporation" - C:\WINDOWS\system32\cisvc.exe
"Служба обеспечения сети" (xmlprov) - "Microsoft Corporation" - C:\WINDOWS\System32\xmlprov.dll
"Служба обнаружения SSDP" (SSDPSRV) - "Microsoft Corporation" - C:\WINDOWS\System32\ssdpsrv.dll
"Служба регистрации ошибок" (ERSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\ersvc.dll
"Служба серийных номеров переносных устройств мультимедиа" (WmdmPmSN) - "Корпорация Майкрософт (Microsoft Corp.)" - C:\WINDOWS\system32\mspmsnsv.dll
"Служба сетевого расположения (NLA)" (Nla) - "Корпорация Майкрософт" - C:\WINDOWS\System32\mswsock.dll
"Служба шлюза уровня приложения" (ALG) - "Microsoft Corporation" - C:\WINDOWS\System32\alg.exe
"Службы IPSEC" (PolicyAgent) - "Microsoft Corporation" - C:\WINDOWS\system32\lsass.exe
"Службы криптографии" (CryptSvc) - "Microsoft Corporation" - C:\WINDOWS\System32\cryptsvc.dll
"Службы терминалов" (TermService) - "Microsoft Corporation" - C:\WINDOWS\System32\termsrv.dll
"Смарт-карты" (SCardSvr) - "Корпорация Майкрософт" - C:\WINDOWS\System32\SCardSvr.exe
"Совместимость быстрого переключения пользователей" (FastUserSwitchingCompatibility) - "Корпорация Майкрософт" - C:\WINDOWS\System32\shsvcs.dll
"Справка и поддержка" (helpsvc) - "Microsoft Corporation" - C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
"Съемные ЗУ" (NtmsSvc) - "Корпорация Майкрософт" - C:\WINDOWS\system32\ntmssvc.dll
"Телефония" (TapiSrv) - "Корпорация Майкрософт" - C:\WINDOWS\System32\tapisrv.dll
"Темы" (Themes) - "Корпорация Майкрософт" - C:\WINDOWS\System32\shsvcs.dll
"Теневое копирование тома" (VSS) - "Корпорация Майкрософт" - C:\WINDOWS\System32\vssvc.exe
"Уведомление о системных событиях" (SENS) - "Microsoft Corporation" - C:\WINDOWS\system32\sens.dll
"Удаленный вызов процедур (RPC)" (RpcSs) - "Microsoft Corporation" - C:\WINDOWS\system32\rpcss.dll
"Удаленный реестр" (RemoteRegistry) - "Microsoft Corporation" - C:\WINDOWS\system32\regsvc.dll
"Узел универсальных PnP-устройств" (upnphost) - "Корпорация Майкрософт" - C:\WINDOWS\System32\upnphost.dll
"Управление приложениями" (AppMgmt) - "Корпорация Майкрософт" - C:\WINDOWS\System32\appmgmts.dll
"Фоновая интеллектуальная служба передачи (BITS)" (BITS) - "Корпорация Майкрософт" - C:\WINDOWS\system32\qmgr.dll
"Центр обеспечения безопасности" (wscsvc) - "Microsoft Corporation" - C:\WINDOWS\system32\wscsvc.dll

[Winlogon]
-----( HKCU\Control Panel\Desktop )-----
"SCRNSAVE.EXE" - "Корпорация Майкрософт" - C:\WINDOWS\system32\logon.scr
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon )-----
"UIHost" - "Корпорация Майкрософт" - C:\WINDOWS\system32\logonui.exe
"VmApplet" - "Корпорация Майкрософт" - C:\WINDOWS\system32\sysdm.cpl
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A} "EFS recovery" - "Корпорация Майкрософт" - C:\WINDOWS\system32\scecli.dll
{25537BA6-77A8-11D2-9B6C-0000F8080861} "Folder Redirection" - "Корпорация Майкрософт" - C:\WINDOWS\system32\fdeploy.dll
{e437bc1c-aa7d-11d2-a382-00c04f991e27} "IP-безопасность" - "Корпорация Майкрософт" - C:\WINDOWS\system32\gptext.dll
{C631DF4C-088F-4156-B058-4375F0853CD8} "Microsoft Offline Files" - "Корпорация Майкрософт" - C:\WINDOWS\System32\cscui.dll
{827D319E-6EAC-11D2-A4EA-00C04F79F83A} "Security" - "Корпорация Майкрософт" - C:\WINDOWS\system32\scecli.dll
{0ACDD40C-75AC-47ab-BAA0-BF6DE7E7FE63} "Беспроводной" - "Корпорация Майкрософт" - C:\WINDOWS\system32\gptext.dll
{3610eda5-77ef-11d2-8dc5-00c04fa31a66} "Дисковые квоты" - "Корпорация Майкрософт" - C:\WINDOWS\system32\dskquota.dll
{426031c0-0b47-4852-b0ca-ac3d37bfcb39} "Планировщик пакетов QoS" - "Корпорация Майкрософт" - C:\WINDOWS\system32\gptext.dll
{4CFB60C1-FAA6-47f1-89AA-0B18730C9FD3} "Сопоставление зон Internet Explorer" - "Корпорация Майкрософт" - C:\WINDOWS\system32\iedkcs32.dll
{42B5FAAE-6536-11d2-AE5A-0000F87571E3} "Сценарии" - "Корпорация Майкрософт" - C:\WINDOWS\system32\gptext.dll
{c6dc5466-785a-11d2-84d0-00c04fb169f7} "Установка программного обеспечения" - "Корпорация Майкрософт" - C:\WINDOWS\system32\appmgmts.dll
{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B} "Фирменная настройка Internet Explorer" - "Корпорация Майкрософт" - C:\WINDOWS\system32\iedkcs32.dll
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"crypt32chain" - "Корпорация Майкрософт" - C:\WINDOWS\system32\crypt32.dll
"cryptnet" - "Microsoft Corporation" - C:\WINDOWS\system32\cryptnet.dll
"cscdll" - "Корпорация Майкрософт" - C:\WINDOWS\system32\cscdll.dll
"ScCertProp" - "Корпорация Майкрософт" - C:\WINDOWS\system32\wlnotify.dll
"Schedule" - "Корпорация Майкрософт" - C:\WINDOWS\system32\wlnotify.dll
"sclgntfy" - "Корпорация Майкрософт" - C:\WINDOWS\system32\sclgntfy.dll
"SensLogn" - "Корпорация Майкрософт" - C:\WINDOWS\system32\WlNotify.dll
"sunotify" - "ShadowStor Corporation" - C:\WINDOWS\system32\sunotify.dll
"termsrv" - "Корпорация Майкрософт" - C:\WINDOWS\system32\wlnotify.dll
"wlballoon" - "Корпорация Майкрософт" - C:\WINDOWS\system32\wlnotify.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries )-----
"Network Location Awareness (NLA) Namespace" - "Корпорация Майкрософт" - C:\WINDOWS\System32\mswsock.dll
"NTDS" - "Microsoft Corporation" - C:\WINDOWS\System32\winrnr.dll
"NWLink IPX/SPX/NetBIOS Compatible Transport Protocol" - "Корпорация Майкрософт" - C:\WINDOWS\System32\nwprovau.dll
"Tcpip" - "Корпорация Майкрософт" - C:\WINDOWS\System32\mswsock.dll
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"MSAFD NetBIOS [\Device\NetBT_Tcpip_{3BBF674C-1113-41D3-B7DF-E12A5AB9EF53}] DATAGRAM 0" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD NetBIOS [\Device\NetBT_Tcpip_{3BBF674C-1113-41D3-B7DF-E12A5AB9EF53}] SEQPACKET 0" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD NetBIOS [\Device\NetBT_Tcpip_{74046427-157B-460E-8CF1-35C9520B9896}] DATAGRAM 2" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD NetBIOS [\Device\NetBT_Tcpip_{74046427-157B-460E-8CF1-35C9520B9896}] SEQPACKET 2" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD NetBIOS [\Device\NetBT_Tcpip_{FB458613-4778-4C16-92F4-0450C437C848}] DATAGRAM 1" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD NetBIOS [\Device\NetBT_Tcpip_{FB458613-4778-4C16-92F4-0450C437C848}] SEQPACKET 1" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD NetBIOS [\Device\NwlnkNb] DATAGRAM 3" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD NetBIOS [\Device\NwlnkNb] SEQPACKET 3" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD nwlnkipx [IPX]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD nwlnkspx [SPX II]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD nwlnkspx [SPX II] [Pseudo Stream]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD nwlnkspx [SPX]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD nwlnkspx [SPX] [Pseudo Stream]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD Tcpip [RAW/IP]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD Tcpip [TCP/IP]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"MSAFD Tcpip [UDP/IP]" - "Корпорация Майкрософт" - C:\WINDOWS\system32\mswsock.dll
"RSVP TCP Service Provider" - "Microsoft Corporation" - C:\WINDOWS\system32\rsvpsp.dll
"RSVP UDP Service Provider" - "Microsoft Corporation" - C:\WINDOWS\system32\rsvpsp.dll

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit http://forum.online-solutions.ru

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------


Поскольку время меня уже заставляет готовить запасные пути (звонят, спрашивают, подгоняют), а надежды все тают, то за время паузы я установил вторую XP на диск D, обновил до SP3, установил другие обновления, установил на него MBAM и сделал сканирование (но не удалял). Очень надеюсь, что это повредит нашему сотрудничеству.

Вот что имеем:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Версия базы данных: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16.11.2010 13:03:41
mbam-log-2010-11-16 (13-03-41).txt

Тип сканирования: Полное сканирование (C:\|D:\|E:\|F:\|)
Просканированные объекты: 126748
Времени прошло: 6 минут, 24 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 3

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
(Вредоносных программ не обнаружено)

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
(Вредоносных программ не обнаружено)

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\WINDOWS\system32\termsrv.dll (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
C:\_Terminal\path_tcpip_вирус\EvID4226Patch.exe (Malware.Tool) -> No action taken.


Если мои действия нанесли вред (я руководствовался надеждой, что вреда не будет), то прошу меня извинить и понять.

Вот самое интересное. Файл termsrv.dll создан мной для обеспечения работы терминала и только 2 из 43 антивирусов признали его инфекцией
http://ifolder.ru/20301637

а второй вообще чистый
http://ifolder.ru/20301685

Ну и что делать?

И вот еще, в надежде, что все-таки дождусь вашей реакции. Переименование указанных файлов ничего не дало.

ДА, ребята, так мы каши не сварим....

Пришел, сейчас гляну

C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken. - Этот файл mbam ошибочно определял как Virus.Expiro, но с обновлением это было исправлено.

C:\_Terminal\path_tcpip_вирус\EvID4226Patch.exe (Malware.Tool) -> No action taken. » в принципе можно удалить, но врядли поможет

Cureit! тоже просканируйте.

Приведите сообщения из журнала событий на момент, когда проблема дала о себе знать.Систему обновляете?Возможно было установлено обновление, которое каким-то образом нарушило работу системы.
В помощь http://forum.oszone.net/showpost.php?p=580138#post580138

Файлы отсутствуют, попробуйте восстановить, скопировав их из аналогичного дистрибутива.
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys (File not found)
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys (File not found)
"DMusic" (DMusic) - ? - C:\WINDOWS\System32\drivers\DMusic.sys (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys (File not found)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys (File not found)
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys (File not found)

C:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken. - Этот файл mbam ошибочно определял как Virus.Expiro, но с обновлением это было исправлено. »
Как это моголо быть исправлено, если обновление делалось для другой ОС, установленной на другом логическом диске? И определял он же после обновления. Вы читайте внимательнее сообщения, адресованные вам, "хелперу"

Приведите сообщения из журнала событий на момент, когда проблема дала о себе знать. »
Уже поздно. Не дождавшись от вас никакой реальной помощи за 2.5 суток, тупо восстановил систему. Т.е., я просто потерял с вами время.

Постараюсь, не оскорбляя нужных нам людей, хелперов, сказать, что мне очень не понравилось.
Вы знакомы с бесплатной медициной? Вот так и у вас. Вы делаете хорошее дело, отличное, но... когда делаете, а не делайте вид, что делаеете. Мы должны быть благодарны вам за бескорыстие? Гонорары вы получаете в другом виде. Такой нерадивой помощью вы только отнимаете у людей время. Подчеркиваю - нерадивой. Прошлый ваши коллеги с трудом, но помогли удалить следствие, но не смогли даже назвать (не указать) возможное название причины.
Вот результат - через 2 недели тоже самое, только намного хуже. Не смогли даже следствие удалить.

"Вам нужна помощь? Нам нужны ваши логи!" Только поэтому я к вам и пришел. Умеете, но не хотите - не беритесь. Хотите, но не умеете - не беритесь тем более. В час по чайной ложке, разве это работа?

Одно хорошее все-таки есть: что-то и сам узнаешь при общении с вами.
Спасибо за попытку помочь.

Как это моголо быть исправлено, если обновление делалось для другой ОС, установленной на другом логическом диске? И определял он же после обновления. Вы читайте внимательнее сообщения, адресованные вам, "хелперу" »
Причем обновление другой ОС? MBAM ошибочно определял его как Virus.Expiro, но с последним обновлением баз MBAM это было исправлено.

Выражайте свои мысли четче. У меня МВАМ не обновлялся. Как я дважды писал - сетевое подключение отсутсутствовало и было недоступно.

Жаль что вы так думаете, я от души хотел вам помочь.

Выражайте свои мысли четче. У меня МВАМ не обновлялся. Как я дважды писал - сетевое подключение отсутсутствовало и было недоступно. »
Вы ведь сканировали со второй установленной системы.На ней тоже не было подключения?

"Восстановление системы не может защитить компьютер. Перезагрузите компьютер и повторите запуск восстановления системы" »
Скорее всего это произошло из-за отключенной системы восстановления.
Хотя в журнале было бы видно что запущена служба восстановления, но оказывается это не так, нужно было открыть эту службу и посмотреть на путь к службе скорее всего отсутствует и его надо переписать если написать в ручную не удастся и можно переписать через regedit , там srservice там их несколько и надо обратить внимание на то где будет этот: ImagePath, в вашем его значение наверно было пустым во всех srservice и надо было переписать путь, то есть открыть те найденные ImagePath написать в значение х:\WINDOWS\system32\svchost.exe -k netsvcs (где х ваш диск с ОС)и все - служба восстановления запуститься.

Вот результат - через 2 недели тоже самое, только намного хуже. Не смогли даже следствие удалить.

Только люди пытались устранить последствия ваших действий. Кто просил вас запускать CF? Если уж сравнивать с медициной, то давайте будем честны... параллельное самолечение никогда до добра не доводило. Что и доказал ваш случай.

И судя по логам вы обратились к нам позже (12:35, 14-11-2010 ) чем запускали CF(14.11.2010 12:10:26)

Сканирование запущено в 14.11.2010 11:21:00 (syscure)
Сканирование запущено в 14.11.2010 11:26:54 (syscheck)

И мой вам совет. Бекапы всему головой, особенно на критически важных машинах.

Только люди пытались устранить последствия ваших действий. Кто просил вас запускать CF? Если уж сравнивать с медициной, то давайте будем честны... параллельное самолечение никогда до добра не доводило. Что и доказал ваш случай. »
Уж слишком быстро больной умирал. Скорая не успевала.И судя по логам вы обратились к нам позже (12:35, 14-11-2010 ) чем запускали CF(14.11.2010 12:10:26) »

И судя по логам вы обратились к нам позже (12:35, 14-11-2010 ) чем запускали CF(14.11.2010 12:10:26) »
Конечно, и я не без грешен. Именно так. Поначалу это показалось до боли знакомым, не дергать ведь вас по "пустякам"

Слава богу и вам, что тема еще открыта. Вчера переустановил ОС на диске С, сделав быстрое форматирование. Установил SP3, IE8, обновления, антивирус avast free (временно). С утра вся проблема предстала в первозданном виде. На диске D дубль системы работает. Есть значок сетевого подключения. Я в шоке. Опять переустановить с полным форматированием? Что посоветуете?

С бэкапом понятно, но на этапе тестирования как-то не до этого.

Единственная программа, которая что-то находит, это МВАМ. Ругается на iissync.exe.
Сравнил файл iissync.exe со своим (у меня стоит таже система, но нет терминал-сервера, хотя файл termsrf.dll заменен на ту же версию, что и на сервере), все одинаково. Только у меня его нет в папке system32/inetsrv. Virustotal ничего не определяет. Удаление этого файла ничего не дает. Avast опять вырубился. OSAM по-прежнему не работает до конца (обе версии, запускал с дисков C, D). Восстановление включено, но при запуске с диска С система не восстанавливается. Окна при сворачивании бесследно исчезают.

Скорее всего это произошло из-за отключенной системы восстановления.
Хотя в журнале было бы видно что запущена служба восстановления, но оказывается это не так, нужно было открыть эту службу и посмотреть на путь к службе скорее всего отсутствует и его надо переписать если написать в ручную не удастся и можно переписать через regedit , там srservice там их несколько и надо обратить внимание на то где будет этот: ImagePath, в вашем его значение наверно было пустым во всех srservice и надо было переписать путь, то есть открыть те найденные ImagePath написать в значение х:\WINDOWS\system32\svchost.exe -k netsvcs (где х ваш диск с ОС)и все - служба восстановления запуститься. »

Все внимательно сравнил. Только в одном месте нашел отличие в ConfigFlags, на сервере значение 0, у меня 20. Заменил на 0 на 20, ругнулась, заменила, результата нет. В службах путь посмотреть нельзя, не показывает.
Только везде в реестре (и у меня, и на сервере) вместо х:\WINDOWS\system32\svchost.exe -k netsvcs
указан путь
\%SystemRoot%\system32\svchost.exe -k netsvcs
Надо так понимать, что и есть х:\WINDOWS\ ?

Мужики, если мы работаем - давайте работать активнее. Если нет - пошлите меня четко и ясно. Скоро по количеству сообщений догоню вас. За 2 часа ни ответа, ни привета. Напротив аватаров - красные галочки. Вот и пойми - нет вас в сети вообще или просто скрываете свое пребывание. Ну не могу я тупо ожидать и гадать, ответите или нет. Время-то тикает! 15 часов за компьютером пролетают, не успеваешь и заметить. Тонны сигарет выкурил.
А потом скажите - ну вот, нашего совета не спросил...

В надежде на то, что вы все-таки вернетесь в эту тему, обращаю ваше внимание на один факт: один и тот же файл iissync есть на сервере на 2-х дисках и у меня на компе. И только на С он определяется как вирус. Напрашивается вопрос, что может приводить к такой ситуации. Мой ответ: работа сервера терминалов (это единственное отличие между дисками С и D). Вывод: попробовать запустить терминал на D. Останавливает то, что не факт, что обвалится и не факт, что из-за терминала. Где-то прочитал, что вирусы могут и физически быть прописаны на винте, вне зоны доступа ОС?

Скачайте и запустите GetSystemInfo (GSI) (http://telecharger.kaspersky.fr/GSI/GetSystemInfo.exe), нажмите «Settings» и передвиньте бегунок вверх, так чтобы настройки были «Maximum», нажмите «Ок» и далее «Create Report», после окончания сканирования выйдет уведомление о сохранении лога на рабочем столе, полученный файл прикрепите к сообщению.

kservice, Ещё одно подобное высказывание в таком тонеМужики, если мы работаем - давайте работать активнее. Если нет - пошлите меня четко и ясно. Скоро по количеству сообщений догоню вас. За 2 часа ни ответа, ни привета. Напротив аватаров - красные галочки. Вот и пойми - нет вас в сети вообще или просто скрываете свое пребывание. Ну не могу я тупо ожидать и гадать, ответите или нет. Время-то тикает! 15 часов за компьютером пролетают, не успеваешь и заметить. Тонны сигарет выкурил.
А потом скажите - ну вот, нашего совета не спросил... »Будут приняты меры. Почитайте пока что - Правилам раздела "Лечение систем от вредоносных программ" (http://forum.oszone.net/announcement-87-112.html)
будьте терпеливы и не требуйте помощи в категоричной форме. Пожалуйста, помните, хелперы свободны от каких-либо обязательств и будут помогать вам по мере возможности, у хелперов может быть своя основная работа, семья, другие интересы, также они могут жить в различных часовых поясах. Кроме того могут быть люди, которые обратились за помощью раньше вас.

По ссылке получил:
You don't have permission to access /GSI/GetSystemInfo.exe on this server.
Скачал на сайте Касперского
Запуск с диска D (рабочая ОС)
При попытке запуска с диска C (нерабочая ОС) получил:

One Windows Service very important for the tool is not running: Stopped
Do you want the tool to start it for you?

Ответил "Да"

Sorry, the tool is unable to start the service "winmgmt" for you

Мне , конечно, не до того, чтобы препираться и совсем не хотелось бы остаться без вашей поддержки.
Будут приняты меры. »
Цитата из правил:
будьте терпеливы и не требуйте помощи в категоричной форме. Пожалуйста, помните, хелперы свободны от каких-либо обязательств и будут помогать вам по мере возможности, у хелперов может быть своя основная работа, семья, другие интересы, также они могут жить в различных часовых поясах. Кроме того могут быть люди, которые обратились за помощью раньше вас. »

Это я понимал, когда все писал. Поэтому старался никого не обидеть и изложить взгляды противоположной стороны. На мой взгляд, вы тоже принимаете на себя некоторые обязательства, когда приступаете к работе, т.е. помощи.

http://www.getsysteminfo.com/read.php?file=29265069996cc30274ff7fc615ab1288

Посмотрел, толком не понял. Прокомментируйте, пожалуйста. Получается, что все чисто? Надо удалять Malware и YandexPackSetup.exe? Так MВАМ и на диске D установлена, там же работает. Кроме того, все относится к ОС, установленной на диске D, а не работает ОС на диске С. Что-то не стыкуется. Рано я обрадовался.
И как объяснить, что данная программа не запускается на диске C. Понятно, что там отключены нужные службы. Но чем вызвано отключение и как их включить обратно?

Снес на С МВАМ, снес Yandex - результат равен 0, в том числе не запускается GetSystemInfo.exe

PS Для интереса проделал все то же самое на своем компе, благополучно работающем. Все упреки GetSystemInfo.exe относятся только к Opera, Avast и MBAM. Ну как поверишь такой проверке? На сервере и драйвера толком не установлены, и службы не работают, и еще какие-то проблемы найдены. И об этом есть информация в самом отчете. А вот в анализах об этих проблемах ни слова.