svchost.exe -k netsvcs от имени пользователя
Это Фоновая интеллектуальная служба передачи (BITS).

Не работают Сбербанк-клиент и Internet Explorer 8. Они запускаются, что видно в ProcessExplorer, сразу дочерним процессом вызывают drwtsn32.exe. А там ошибка 0xc0000409.

Обновления, DrWeb LiveUSB -- все сделано.

http://storage2.static.itmages.ru/i/11/0610/s_1307653638_b16847adbf.png (http://itmages.ru/image/view/208102/b16847ad)

http://storage3.static.itmages.ru/i/11/0610/s_1307653664_cc6ebed182.png (http://itmages.ru/image/view/208103/cc6ebed1)

http://storage4.static.itmages.ru/i/11/0610/s_1307653683_b55769746d.png (http://itmages.ru/image/view/208104/b5576974)

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)

AskToolbar рекомендую деинсталлировать.

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Так. Спасибо. Сейчас буду делать.

Combofix при распаковке выдал ошибку NirSoft Cmd и открыл мне Mozilla Firefox на этой странице. Весело, правда? :)
Вот я и выбираю, закрыть браузер и переименовать Combofix или пусть работает дальше. Выберу второе.

To be continued...

При предпросмотре этого сообщения браузер закрылся. Combofix работал.

Кажется у него мигал курсор в консоли. Мышь я не трогал. Потом время стало 11:58 и так и оставалось. Курсор в консоли исчез. Совсем.

Подождав, я все же тронул мышь, пытаясь открыть браузер, найти текстовый файл Combofix или закрыть Combofix.
Combofix завис. Пришлось все же перезагрузить с кнопки.

Файл C:\ComboFix.txt я не наблюдаю.

Зато есть такая папка Combofix.

Примечание: Во время сканирования, программа может изменить настройки даты и времени на компьютере. После завершения, эти параметры будут восстановлены, поэтому нет оснований для беспокойства.

Прочел.

Создал нового пользователя с правами администратора и паролем. Сбербанк-клиент и Internet Explorer работают в новом пользователе.
Сбербанк-клиент работает и с помощью "Запустить от имени...".

Сбербанк-клиент и Internet Explorer работали и в безопасном режиме.

Svchost Viewer
Видно, что svchost.exe PID:2152 -- единственный не имеет запущенной им службы.

http://storage2.static.itmages.ru/i/11/0610/s_1307698288_70242b7688.png (http://itmages.ru/image/view/208310/70242b76)



SvchostAnalyzer
svchost.exe ID 2152 -- единственный, у которого в колонке Group нет ничего.

http://storage3.static.itmages.ru/i/11/0610/s_1307698448_03ed56c22b.png (http://itmages.ru/image/view/208311/03ed56c2)



NirSoft CurrPorts
svchost.exe Process ID 2152, запущенный от имени пользователя, использует библиотеку C:\WINDOWS\System32\wininet.dll.

http://storage5.static.itmages.ru/i/11/0610/s_1307698552_4bbb2d086d.png (http://itmages.ru/image/view/208313/4bbb2d08)

Логи RSIT.

Проверьте сами на http://www.virustotal.com файл


C:\WINDOWS\system32\vcsdel.dll


ссылку на результат запостите здесь

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\WINDOWS\system32\REN37A.tmp','');
QuarantineFile('C:\WINDOWS\system32\REN379.tmp','');
QuarantineFile('C:\WINDOWS\system32\REN378.tmp','');
DeleteFile('C:\WINDOWS\system32\REN37A.tmp');
DeleteFile('C:\WINDOWS\system32\REN379.tmp');
DeleteFile('C:\WINDOWS\system32\REN378.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

и лог RSIT повторите

C:\WINDOWS\system32\vcsdel.dll чистая.

http://storage1.static.itmages.ru/i/11/0610/s_1307710752_a0f9038e07.png (http://itmages.ru/image/view/208461/a0f9038e)

Проверку c помощью Combofix спокойно сегодня не удалось сделать.

Очистил с помощью ATF-Cleaner.exe все, включая cookies Internet Explorer и Mozilla Firefox.

Удалил Ant Toolbar, MailGuard и Google Toolbar.

svchost.exe -k netsvcs от имени пользователя не появляется, даже после нескольких перезагрузок.

Сбербанк-Клиент и Internet Explorer по-обычному запускаются нормально.

С трудом заходит в сетевые папки, принтер печатает только в очередь
(Источник: MRxSmb
Перенаправитель не смог определить тип подключения.)
(хотя, может, это погода и прочее, прочее, прочее...).

Хотя

Источник: Service Control Manager
Служба "Network Protocol Driver" завершена из-за ошибки Не удается найти указанный файл.
мне не нравится.

а мне не нравится, что вы не выполняете рекомендации))
скрипт в AVZ выполнить, логи запрашиваемые предоставить

надеюсь, админские и операторские ключи от клиентбанка не храните на ПК?
отслеживайте ежедневно движение денег по счету и строго выполняйте инструкции автоматизаторов банкклиента

Не работают Сбербанк-клиент и Internet Explorer 8. Они запускаются, что видно в ProcessExplorer, сразу дочерним процессом вызывают drwtsn32.exe. А там ошибка 0xc0000409. »
Сбербанк-Клиент и Internet Explorer по-обычному запускаются нормально. »Как я вижу проблема решена.

Если же вы считаете что, что-то не так, изложите ещё раз и не суетясь и не спеша.С трудом заходит в сетевые папки, принтер печатает только в очередь
(Источник: MRxSmb
Перенаправитель не смог определить тип подключения.)
(хотя, может, это погода и прочее, прочее, прочее...). »Я не думаю, что это проблема в вирусах.

Скрипт выполнен.


quarantine.zip

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского


Malwarebytes' Anti-Malware просканировать удалось полчаса.

что с проблемой?

Все нормально.

Мне понравилось Ваше участие и совет удалять all the toolbars.
Я так тоже считаю.

Рано ли, поздно ли, скрипт, еще что-то.

В общем однажды svchost исчез. Хотя, возможно, в том числе потому, что я до этого удалил Google Toolbar.

В любом случае все стало хорошо при Вашем участии, SolarSpark, Drongo.

<center><strong>СПАСИБО</strong></center>

И да, я видел фото. Красиво.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Создайте новую контрольную точку восстановления и очистите предыдущие:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

Все сделал.

quarantine.zip

Вредоносный код в файле не обнаружен.

Все отлично. Спасибо.