1. Cкачайте CureIt (прямая ссылка) и запустите полную проверку всех дисков в безопасном режиме. Перезагрузитесь в обычный режим.
2. Скачайте AVZ, HijackThis и RSIT или если у вас 64 битная система, то эту версию RSIT x64 и распакуйте архивы avz4.zip, HiJackThis.zip в отдельные папки.

из этого всего, скачалось только AVZ :|, отчеты от него выложил.
+ почистил все что можно было ATF-Cleaner.


пс: еще была проблема со свойствами папок, т.к. не запускался режим просмотра скрытых папок. но после проверки AVZ, через Far в system32 удалил некий VideoDriver.exe который и был причиной.

да, забыл сказать, hosts впорядке.

Проверьте сами на http://www.virustotal.com файл

C:\Documents and Settings\Admin\Local Settings\Temp\NEventMessages.dll
C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys


ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Installer\318f8.msi','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys','');
QuarantineFile('c:\program files\common files\ms64sign.cert','');
QuarantineFile('c:\windows\system32\videodriver.exe','');
DeleteFile('c:\program files\common files\ms64sign.cert');
DeleteFile('c:\windows\system32\videodriver.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters','Ser viceDll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VideoDriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Cкачайте Gmer (http://www.gmer.net/gmer.zip) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=8&act=down). Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.

Важно!
Если у вас установлены эмуляторы дисков (Alcohol или Daemon Tools), то необходимо перед сканированием GMER
приостановить их работу для корректной работы утилиты (http://virusnet.info/forum/showthread.php?t=10608)

спасибо за отзыв)

quarantine.zip - создал.
Но отправить немогу, не пускает. И на http://www.virustotal.com тоже, т.к. тоже доступ закрыт.
Щас просканю Gmer, отпишусь.

вот лог

Когда закончите с гмер
выполните

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

вот лог от комбофикс:

еще заметил, с помощью NetLimiter, что svchost.exe время от времени что-то куда-то отправляет, на разные ip адресса.

Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится gmer.exe

gmer.exe -del service dmdrag
gmer.exe -del file "C:\WINDOWS\system32\huohu.dll"
gmer.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\dmdrag"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\dmdrag"
gmer.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

• Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html).

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6221:TCP"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=" "
NetSvc::
dmdrag

FileLook::

DirLook::


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.


Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

да, после выполнения батника, все стало нормально.
на все сайты заходит.
спасибо огромное)

Когда сохранится новый отчёт ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Лечение еще не закончено! Пока поменяйте ВСЕ! ваши пароли которые вы имеете на сайтах и т.д.

Сделайте новый лог gmer. »


+ где отчет Combofix и гмер?

сделайте еще этот лог
• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://data.mbamupdates.com/tools/mbam-rules.exe).

ComboFix 11-01-29.03 - Admin 31.01.2011 22:55:05.3.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1251.7.1049.18.1023.404 [GMT 2:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\Рабочий стол\CFScript.txt
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Delete.bat
c:\windows\ST6UNST.000
c:\windows\system32\Drivers.bat
c:\windows\system32\Drivers.vbs
c:\windows\system32\ssField Lines.scr
c:\windows\system32\ssRibbons.scr
c:\windows\system32\SYSINTERNALS_BLUESCREEN.SCR
c:\windows\system32\twunk_32.exe
c:\windows\system32\uninstall.exe
c:\windows\system32\vksaver.dll

c:\windows\regedit.exe . . . is infected!!

.
((((((((((((((((((((((((( Files Created from 2010-12-28 to 2011-01-31 )))))))))))))))))))))))))))))))
.

2011-01-31 20:38 . 2011-01-31 20:38 -------- d-----w- c:\windows\LastGood.Tmp
2011-01-31 19:04 . 2011-01-31 19:05 -------- d-----w- c:\windows\system32\rserver30
2011-01-31 18:59 . 2011-01-31 18:59 -------- d-----w- c:\documents and settings\Admin\Application Data\Radmin
2011-01-27 19:14 . 2011-01-27 19:14 -------- d-----w- c:\documents and settings\Admin\Application Data\HdO Adventure
2011-01-23 23:38 . 2011-01-23 23:38 -------- d-----w- c:\documents and settings\Admin\Application Data\tank-o-box.wrp
2011-01-23 22:59 . 2011-01-23 22:59 -------- d-----w- c:\documents and settings\Admin\Application Data\танчики
2011-01-23 22:59 . 2011-01-23 22:59 -------- d-----w- c:\documents and settings\All Users\Application Data\AlawarWrapper
2011-01-23 22:58 . 2011-01-27 19:12 -------- d-----w- c:\program files\Alawar
2011-01-06 20:13 . 2011-01-06 20:13 165232 ---ha-w- c:\documents and settings\Admin\Application Data\Microsoft\Virtual PC\VPCKeyboard.dll
2011-01-06 20:12 . 2011-01-06 20:12 -------- d-----w- c:\program files\Microsoft Virtual PC

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-02 03:35 . 2010-12-02 03:35 4280320 -c--a-w- c:\windows\system32\GPhotos.scr
2010-11-05 12:54 . 2010-11-05 12:21 2386240 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VisualStudio\10.0\1049\ResourceCache.dll
2010-11-05 12:21 . 2010-11-05 12:21 18432 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSA\9.0\1049\ResourceCache.dll
2010-11-05 12:21 . 2010-11-05 12:21 18368 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\VSA\9.0\1033\ResourceCache.dll
.

------- Sigcheck -------

[-] 2009-02-19 . 6A104BA98D99D53AB0C91825CE659FC6 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

[-] 2009-02-19 17:17 . 741FBE6EC177F09F49A448DE2FBF8F01 . 855040 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll

[-] 2009-02-19 . 23B7D3F3F5EC8FEEA75EC381C71CBD5E . 579072 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2009-02-19 . 8D462CDD4769F07C7A03384436B45C0B . 952832 . . [7.00.6000.20978] . . c:\windows\system32\wininet.dll

[-] 2009-02-19 . DD08EDC9648AFF1E064B2FAF24743BF6 . 1721344 . . [6.00.2900.5512] . . c:\windows\explorer.exe

[-] 2009-02-19 . 8F51D3D08E9FFF9113EFDFA7A7511F2C . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2009-02-19 . 0C03910993057CC8BD5762441F5ABDF6 . 30208 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

.
((((((((((((((((((((((((((((( SnapShot@2011-01-31_18.02.08 )))))))))))))))))))))))))))))))))))))))))
.
- 2011-01-31 18:01 . 2011-01-31 18:01 16384 c:\windows\Temp\Perflib_Perfdata_90.dat
+ 2011-01-31 21:02 . 2011-01-31 21:02 16384 c:\windows\temp\Perflib_Perfdata_90.dat
+ 2008-11-14 19:07 . 2009-08-06 17:24 44768 c:\windows\system32\wups2.dll
+ 2009-11-14 16:09 . 2009-08-06 17:24 35552 c:\windows\system32\wups.dll
+ 2009-11-14 16:09 . 2009-08-06 17:24 53472 c:\windows\system32\wuauclt.exe
+ 2011-01-31 20:38 . 2009-08-06 17:24 44768 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.4.7600.226\wups2.dll
+ 2011-01-31 20:38 . 2009-08-06 17:24 35552 c:\windows\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.4.7600.226\wups.dll
+ 2010-04-21 04:02 . 2010-04-21 04:02 54640 c:\windows\system32\rserver30\rsl.exe
+ 2010-04-21 04:02 . 2010-04-21 04:02 52080 c:\windows\system32\rserver30\rsetup.exe
+ 2010-04-21 16:06 . 2010-04-21 16:06 83312 c:\windows\system32\rserver30\RCursor.dll
+ 2010-04-21 04:02 . 2010-04-21 04:02 46280 c:\windows\system32\rserver30\raddrvv3.sys
+ 2010-04-21 04:02 . 2010-04-21 04:02 10752 c:\windows\system32\rserver30\mirrorv3.dll
+ 2010-04-21 04:02 . 2010-04-21 04:02 40776 c:\windows\system32\rserver30\FirewallInstallHelper.dll
+ 2010-04-21 04:02 . 2010-04-21 04:02 10752 c:\windows\system32\mirrorv3.dll
+ 2009-11-14 16:09 . 2009-08-06 17:24 35552 c:\windows\system32\dllcache\wups.dll
+ 2009-02-19 17:08 . 2009-08-06 17:24 96480 c:\windows\system32\dllcache\cdm.dll
+ 2009-02-19 17:08 . 2009-08-06 17:24 96480 c:\windows\system32\cdm.dll
+ 2011-01-31 19:05 . 2011-01-31 19:05 65536 c:\windows\Installer\{076A5070-5A6B-4A84-A1B8-C25B705C942A}\Z_MENU_SRVCFG_6BF1780B36EA432B9451DD84FF5C9D52.exe
+ 2011-01-31 19:05 . 2011-01-31 19:05 65536 c:\windows\Installer\{076A5070-5A6B-4A84-A1B8-C25B705C942A}\NewShortcut4_6BF1780B36EA432B9451DD84FF5C9D52.exe
+ 2011-01-31 19:05 . 2011-01-31 19:05 65536 c:\windows\Installer\{076A5070-5A6B-4A84-A1B8-C25B705C942A}\NewShortcut3_6BF1780B36EA432B9451DD84FF5C9D52.exe
+ 2011-01-31 19:05 . 2011-01-31 19:05 65536 c:\windows\Installer\{076A5070-5A6B-4A84-A1B8-C25B705C942A}\ARPPRODUCTICON.exe
+ 2010-04-21 04:02 . 2010-04-21 04:02 3328 c:\windows\system32\rserver30\rminiv3.sys
+ 2010-04-21 04:02 . 2010-04-21 04:02 3328 c:\windows\system32\drivers\rminiv3.sys
+ 2009-11-14 16:09 . 2009-08-06 17:24 209632 c:\windows\system32\wuweb.dll
+ 2009-11-14 16:09 . 2009-08-06 17:24 327896 c:\windows\system32\wucltui.dll
+ 2009-11-14 16:09 . 2009-08-06 17:23 575704 c:\windows\system32\wuapi.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 228208 c:\windows\system32\rserver30\WinLpcDl2.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 230256 c:\windows\system32\rserver30\WinLpcDl.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 234864 c:\windows\system32\rserver30\voicex.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 165232 c:\windows\system32\rserver30\vcintsx.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 505200 c:\windows\system32\rserver30\vcintcx.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 148848 c:\windows\system32\rserver30\rschatx.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 165232 c:\windows\system32\rserver30\rsaudiox.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 275824 c:\windows\system32\rserver30\rchatx.dll
+ 2010-04-21 16:06 . 2010-04-21 16:06 202096 c:\windows\system32\rserver30\raudiox.dll
+ 2010-04-21 04:02 . 2010-04-21 04:02 289648 c:\windows\system32\rserver30\R_sui.dll
+ 2010-04-21 16:05 . 2010-04-21 16:05 161136 c:\windows\system32\rserver30\FamItrfc.Exe
+ 2010-04-21 16:05 . 2010-04-21 16:05 161136 c:\windows\system32\rserver30\FamItrf2.Exe
+ 2010-04-21 16:05 . 2010-04-21 16:05 378224 c:\windows\system32\rserver30\ChatLPCx.dll
+ 2009-11-14 16:07 . 2009-08-06 17:23 215920 c:\windows\system32\muweb.dll
+ 2009-11-14 16:07 . 2009-08-06 17:23 274288 c:\windows\system32\mucltui.dll
+ 2009-11-14 16:09 . 2009-08-06 17:24 209632 c:\windows\system32\dllcache\wuweb.dll
+ 2009-11-14 16:09 . 2009-08-06 17:24 327896 c:\windows\system32\dllcache\wucltui.dll
+ 2009-11-14 16:09 . 2009-08-06 17:23 1929952 c:\windows\system32\wuaueng.dll
+ 2010-04-21 04:02 . 2010-04-21 04:02 1242480 c:\windows\system32\rserver30\rserver3.exe
+ 2009-11-14 16:09 . 2009-08-06 17:23 1929952 c:\windows\system32\dllcache\wuaueng.dll
+ 2011-01-31 19:05 . 2011-01-31 19:05 1398784 c:\windows\Installer\3a4669.msi
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2009-12-24 8729864]

[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{91397D20-1446-11D4-8AF4-0040CA1127B6}"= "c:\program files\Yandex\YandexBarIE\yndbar.dll" [2009-12-24 8729864]

[HKEY_CLASSES_ROOT\clsid\{91397d20-1446-11d4-8af4-0040ca1127b6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{91397D13-1446-11D4-8AF4-0040CA1127B6}]
[HKEY_CLASSES_ROOT\Yandex.Toolbar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]
"Download Master"="c:\program files\Download Master\dmaster.exe" [2007-06-22 3086848]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-06-08 23233576]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 139264]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"louderit.exe"="c:\program files\louderit\LouderIt.exe" [2008-02-19 41472]
"LClock"="c:\program files\LClock\LClock.exe" [2007-12-14 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"nwiz"="nwiz.exe" [2009-01-15 1657376]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352]
"Adobe Photo Downloader"="c:\program files\Adobe\Adobe Photoshop Lightroom 1.4\apdproxy.exe" [2008-04-01 61440]
"Pragma5"="c:\program files\Trident Software\Pragma\pragma.exe" [2007-09-26 380928]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"USB Antivirus"="c:\program files\USB Disk Security\USBGuard.exe" [2009-12-19 819200]
"PEOPLEnet_CCU550"="c:\program files\PEOPLEnet\CCU-550\Bin\CMTNFCM.exe" [2006-05-06 208896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-01-02 132096]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"IE7_011"="shell32" [X]
"ZZZZ2_FirstLogonSetting"="advpack.dll" [2009-02-19 124928]
"IE7_012"="advpack.dll" [2009-02-19 124928]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Punto Switcher.lnk - c:\program files\Yandex\Punto Switcher\punto.exe [2010-9-28 830248]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesOverride"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\rserver30\\rserver3.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.11.2009 18:15 691696]
R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [23.04.2007 18:08 81688]
R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [19.08.2010 21:32 33824]
R1 raddrvv3;raddrvv3;c:\windows\system32\rserver30\raddrvv3.sys [21.04.2010 6:02 46280]
R2 DCService.exe;DCService.exe;c:\documents and settings\All Users\Application Data\DatacardService\DCService.exe [08.05.2010 13:48 229376]
R2 RServer3;Radmin Server V3;c:\windows\system32\rserver30\rserver3.exe [21.04.2010 6:02 1242480]
R3 cmo_bus;Data Modem @ CDMA Composite Device driver (WDM);c:\windows\system32\drivers\cmo_bus.sys [14.11.2009 19:13 58352]
R3 cmo_mdfl;Data Modem @ CDMA Filter;c:\windows\system32\drivers\cmo_mdfl.sys [14.11.2009 19:13 8304]
R3 cmo_mdm;Data Modem @ CDMA Drivers;c:\windows\system32\drivers\cmo_mdm.sys [14.11.2009 19:13 93904]
R3 cmo_serd;Data Modem @ CDMA Diagnostic Serial Port (WDM);c:\windows\system32\drivers\cmo_serd.sys [14.11.2009 19:13 73696]
R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [13.12.2010 18:40 63616]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 PTsup5;PsViatau;c:\program files\Trident Software\Pragma\PTsup5.exe [16.03.2007 16:59 73728]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\program files\Everest\kerneld.wnt [03.10.2010 10:31 27248]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [13.12.2010 18:40 101504]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 MSSQLServerADHelper100;Служба поддержки Active Directory сервера SQL Server;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [21.07.2009 4:44 47128]
S4 RsFx0103;RsFx0103 Driver;c:\windows\system32\drivers\RsFx0103.sys [30.03.2009 3:09 239336]
S4 SQLAgent$SQLEXPRESS;Агент SQL Server (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [30.03.2009 3:23 366936]
.
Contents of the 'Scheduled Tasks' folder

2011-01-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.microsoft.com
uDefault_Search_URL = hxxp://search.qip.ru
mStart Page = hxxp://www.microsoft.com
mWindow Title = Microsoft Internet Explorer
uInternet Connection Wizard,ShellNext = hxxp://www.winamp.com/player
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
IE: &Winamp Search - c:\documents and settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
.
- - - - ORPHANS REMOVED - - - -

AddRemove-HashTab 3.0.0 - c:\windows\system32\Uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-31 23:03
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\program files\Everest\kerneld.wnt"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\cscui.dll

- - - - - - - > 'explorer.exe'(652)
c:\windows\system32\SHDOCVW.dll
c:\program files\Yandex\Punto Switcher\pshook.dll
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\program files\louderit\LHook.dll
c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll
c:\program files\Common Files\Ahead\Lib\MFC71U.DLL
c:\program files\Common Files\Ahead\Lib\BCGCBPRO800u.dll
c:\windows\system32\msi.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\wpdshserviceobj.dll
c:\program files\Microsoft Virtual PC\VPCShExH.DLL
c:\program files\LClock\LC.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\program files\NetLimiter 2 Monitor\nlsvc.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\NetLimiter 2 Monitor\NLClient.exe
c:\windows\system32\rserver30\FamItrfc.Exe
c:\windows\system32\rundll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Completion time: 2011-01-31 23:08:18 - machine was rebooted
ComboFix-quarantined-files.txt 2011-01-31 21:08
ComboFix2.txt 2011-01-31 18:06

Pre-Run: 3*169*665*024 байт свободно
Post-Run: 3*180*425*216 байт свободно

- - End Of File - - 5DD0163CBA157A9440C84A4B4DC609BC

_______________________________________________
_______________________________________________
_______________________________________________
_______________________________________________

c:\windows\regedit.exe . . . is infected!! --- это поидее не хорошо.

пс: гмер пока в процессе.

c:\windows\regedit.exe . . . is infected!! --- это поидее не хорошо. »
Возможно, но похоже это специфика вашей сборки.У вас как я понимаю чья-то сборка. А не Официальная версия.

Проверьте его на http://www.virustotal.com/index.html - ссылку на результаты сюда.

радмин вы сами устанавливали ?

с логам гмера вроде все чисто..

пс:радмин - да, сам.
и да...у меня zver стоит.


по regedit.exe :

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5: c23e7f608ac7778419b9a663ff608995
Date first seen: 2009-06-03 09:38:45 (UTC)
Date last seen: 2010-04-21 07:04:17 (UTC)
Detection ratio: 0/40

Это старые результаты . Вы снова и свой файл проверьте. И ссылку на результат , а не выдержку отчета.

http://www.virustotal.com/file-scan/report.html?id=8d60a5e43f256bcd9acf24aa4eb4c921427e229e59aae3204793862539b0b29d-1296510484

исправил.

+ по гмеру это новый отчет. первый назывался log1.zip, a после запуска батника - log2.zip

+ по гмеру это новый отчет. первый назывался log1.zip, a после запуска батника - log2.zip »
Я понял и видел отчет.
Чистый.
• Для деинсталяции ComboFix с компьютера необходимо выполнить:
Нажать Пуск затем Выполнить в окне наберите команду Combofix /u (обязательно нужен пробел между х и /), нажмите кнопку "ОК"


Или скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe), зеркало OTCleanIt (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up.

Для деинсталяции Gmer используйте следующие рекомендации:

Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

логи от Malwarebytes Anti-Malware:

Проблемы остались?
Если нет, то деинсталлируйте Malwarebytes Anti-Malware.
Очистить и создать новую контрольную точку восстановления, чтобы если во время лечения произошла непредвиденная ситуация, пользователь мог вернуть систему к предыдущему состоянию:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
если вы используете Firefox, нажмите Firefox - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли
если вы используете Opera, нажмите Opera - Select All - Empty Selectedнажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- в Internet Explorer (рекомедуется IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)) отключить ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы.