Вообщем-то и не догадываюсь, где мог приобрести паразита - а то, что он есть в системе - это точно.
Из отчетов KIS 2011
При запуске системы появляются не контролируемые KIS 2011 процессы (в доверенной группе ), производится запуск какой-то неизвестной программы и нескольких копий Windows Explorer, которые потом исчезают.
Далее, с этой программы идет устанавка перехватчиков на С:\Windows\System32\msctf.dll и C:\Windows\SysWOW64\msctf.dll или на С:\Windows\System32\dwmari.dll и C:\Windows\SysWOW64\dwmari.dlll и производится запуск всех остальных процессов, которые тоже в свою очередь пытаются запустить какую-то неизвестную программу и устанавливают перехватчики на вышеуказанные библиотеки и т.д.
При запуске любой, из установленных на компьютере, программы - также производится запуск какой-то неизвестной программы и устанавка перехватчиков на этиже библиотеки.

- Постоянно появляется сообщение Центра поддержки о НЕВКЛЮЧЕННОМ антивирусе, хотя значок KIS 2011 есть в трее и реагирует на все манипуляции с ним, вплоть до завершения программы KIS 2011. При ее повторном запуске в этом же сеансе сообщение не пропадает. После перезагрузки исчезает, но через некоторое время появляется вновь.
- В папке %TEMP%\ после каждого запуска появляется папка с названием "WPDNSE".
- Нагрузка на ЦП держится на уровне 20 - 45 %,
- Суммарная память, занятая процессами svchost.exe в пределах 150-200 Mb.
- Появилась куча открытых локальных портов с непонятными локальными адресами типа " :: " , " ::1 " и "0.0.0.0" ,
- Постоянно, в небольших объемах идет исходящий сетевой трафик.
- Компьютер иногда перестает реагировать на любые действия мыши и клавиатуры в течении 5-10 сек., потом все восстанавливается.

Полное сканирование в обычном режиме, выполненное KIS 2011 и при загрузке с Dr.Web® LiveCD6 никаких проблем не показывает.
Проверил CureIT (2011 01 28) в безопасном режиме (полная проверка всех дисков) - тоже ничего.

Танцы с бубном тоже не помогают, надежда только на гуру этого форума.

В логах ничего подозрительного.

Сделайте лог полного сканирования MBAM.

To zirreX
Извиняюсь за долгое отсутствие, был в командировке.... Тема актуальности не потеряла...
Лог полного сканирования MBAM, а так же на всякий случай лог ComboFix и SophosAntiRootkit.

Удалите то что нашел МБАМ.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::

File::
c:\windows\system32\5AA1.tmp
c:\windows\system32\78A0.tmp
c:\windows\SysWow64\tmpD8A05.FOT
c:\windows\system32\5EDF.tmp
c:\windows\system32\25FF.tmp

Driver::

Folder::

Registry::

FileLook::

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.



Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.



• Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/soft/gmer.zip). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Логи ComboFix и Gmer
p.s.
1. Gmer на моей системе (WIN7x64) работает некорректно - не хочет сканировать сервисы
2. В папке %TEMP%\ папка с названием "WPDNSE" так же появляется после каждой перезагрузки и дополнительно появились скрытые папки Cookies, History, Temporary Internet Files и неудаляемый файл kls2BA4.tmp, заблокированный KIS2010 - откуда это ? Правда сообщение Центра поддержки о НЕВКЛЮЧЕННОМ антивирусе исчезло и пока не появляется...

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\windows\system32\5AA1.tmp
c:\windows\system32\78A0.tmp
c:\windows\SysWow64\tmpD8A05.FOT
c:\windows\SysWow64\tmpBDA05.FOT
c:\windows\SysWow64\tmp86B05.FOT
c:\windows\SysWow64\tmp6BB05.FOT
c:\windows\SysWow64\tmp24C05.FOT
c:\windows\SysWow64\tmp01A05.FOT
c:\windows\system32\5EDF.tmp
c:\windows\system32\25FF.tmp

Driver::
MEMSWEEP2

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\MEMSWEEP2]
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Все сделал. Лог ComboFix
p.s:В папке %TEMP%\ очередное пополнение - вдобавок к перечисленным в моем предыдущем сообщении появились еще заблокированные файлы -
1. ~DFE62F1BF0492786AC.TMP (заблокирован программой C:\Program Files (x86)\Winstep\Nexus.exe)
2. FXSAPIDebugLogFile.txt (заблокирован программой С:\Windows\Explorer.exe)
3. dat3BAB.tmp (заблокирован программой С:\Program Files\Windows Sidebar\sidebar.exe по 2-м дескрипторам)
удаляться так же не хотят...

В логе чисто
Какие признаки вирусной активности еще наблюдаются вами?
уберите sidebar.exe из автозагрузки или удалите совсем-никакой смысловой нагрузки сей бар не несет
рекомендую при использовании FF bспользовать плагин NoScript
Папка WPDNSE, упорно создаваемая после рестарта - от Windows Media Player, вполне легитимная

Спасибо

Папка WPDNSE, упорно создаваемая после рестарта - от Windows Media Player, вполне легитимная »
Вот хорошо - успокоил наконец-то
рекомендую при использовании FF использовать плагин NoScript »
Он здорово ограничивает функциональность сайтов, но все же попробую
уберите sidebar.exe из автозагрузки или удалите совсем-никакой смысловой нагрузки сей бар не несет »
Нужен он мне - в нем установлены системный монитор, монитор сети и панелька быстрого запуска, в которую собраны все нужные проги
Какие признаки вирусной активности еще наблюдаются вами? »
Я писал в первом посте
- Нагрузка на ЦП держится постоянно на уровне 20 - 45 % (даже когда все приложения выключены, раньше было в пределах 2-7%)
- Суммарная память, занятая процессами svchost.exe в пределах 150-200 Mb.
- Появилась куча открытых локальных портов с непонятными локальными адресами типа " :: " , " ::1 " и "0.0.0.0" ,
- Постоянно, в небольших объемах идет исходящий сетевой трафик (по монитору сети и по сетевому монитору KIS, хотя видимого сетевого процесса на вкладке "сетевая активность" нет) - так же не должно быть, да и раньше такого не было.
- Компьютер иногда перестает реагировать на любые действия мыши и клавиатуры в течении 5-10 сек., потом все восстанавливается - это смущает больше всего, на зависание не похоже....
- Непонятные заблокированные и скрытые файлы в папке %TEMP%
- Почему-то перестал открываться Центр обновления Windows

Я писал в первом посте »
я надеялась на положительную динамику

пуск - выполнить - cmd - ввести в командную строку Tasklist /SVC > c:\Tasklist.txt
нажать enter
c:\Tasklist.txt из корня диска С прикрепите к сообщению

найдите все ваши заблокированные файлы, выпишите их сюда с указанием полного пути к каждому файлу, а также проверьте их на http://www.virustotal.com
Ссылки на проверку файлов запостите в своем следующем сообщении

Удалите то что нашел МБАМ. »
а вы файлы в MBAM удаляли? повторите лог

появились скрытые папки Cookies, History, Temporary Internet Files »
нормальные папки...неудаляемый файл kls2BA4.tmp, »
похоже от касперскогозаблокированный KIS2010 - откуда это ? »
у вас раньше 10 версия стояла и поставли 11?Я писал в первом посте
- Нагрузка на ЦП держится постоянно на уровне 20 - 45 % (даже когда все приложения выключены, раньше было в пределах 2-7%) »
скорее всего у вас что то есть в автозапуске чего раньше не было..
Суммарная память, занятая процессами svchost.exe в пределах 150-200 Mb. » так же автозапуск смотретьПоявилась куча открытых локальных портов с непонятными локальными адресами типа " :: " , " ::1 " и "0.0.0.0" , »
в логах мы не видели у вас открытые порты
Постоянно, в небольших объемах идет исходящий сетевой трафик (по монитору сети и по сетевому монитору KIS, хотя видимого сетевого процесса на вкладке "сетевая активность" нет) - так же не должно быть, да и раньше такого не было. »
вполне нормально...
Компьютер иногда перестает реагировать на любые действия мыши и клавиатуры в течении 5-10 сек., потом все восстанавливается - это смущает больше всего, на зависание не похоже.... »
вот здесь.... перед этим не ставили какие либо драйвера обновления или программы??- Непонятные заблокированные и скрытые файлы в папке %TEMP% »
проверьте их на virustotal.comПочему-то перестал открываться Центр обновления Windows »
то есть перестал... точно не помню как в 7 но в любом случае вы хотите сказать что пытаясь открыть сервис вам выдает ошибку.. я правильно понял? сделайте скрин плиз.

Всем спасибо за помощь и советы....., но как говориться - чем дальше в лес - тем толще партизаны...
Проблему вчера решил старым, проверенным и кардинальным способом - переустановкой системы с форматированием системного диска - при тех же установленных программах все описанные в предыдущих постах непонятные явления исчезли . Тему можно закрыть.