У меня пробелма полностью эдентичная той, что описанна в этой (http://forum.oszone.net/thread-212117.html) теме.
Прошу помочь.

Смотрю логи скоро отвечу

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xdyuwbh.dll','');
QuarantineFile('C:\WINDOWS\system32\189.tmp','');
DeleteFile('C:\WINDOWS\system32\xdyuwbh.dll');
DeleteFile('C:\WINDOWS\system32\189.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT (http://safezone.cc/forum/showthread.php?t=9):

R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\xdyuwbh.dll

Повторите логи AVZ и RSIT (http://safezone.cc/forum/showthread.php?t=15)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Прокси сами настраивали?

C:\WINDOWS\system32\xdyuwbh.dll - Trojan.MulDrop2.50825

в HJT не было строки O20 - AppInit_DLLs: C:\WINDOWS\system32\xdyuwbh.dll
лог от Malwarebytes' Anti-Malware не влазит сюда, весит 240кб
куда запихнуть/скинуть?

Запакуйте в архив и прикрепите

Прокси сами настраивали?

на счет прокси нет, это комп на работе, и может настраивал человек который сидел тут до меня
если честно, то я как то даже не подозревал что где то на компе еще и прокси настроен

Ок, повторите сканирование и удалите в MBAM все кроме этих строк:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\program files\half-open\tools\CertMgr.Exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076511.exe (PUP.PasswordView) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076512.exe (Malware.Packer.Gen) -> No action taken.
c:\system volume information\_restore{9b2d4717-fba9-45e5-941c-296ef5ba483b}\RP29\A0076580.exe (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\greenfields.scr (Malware.Packer.Gen) -> No action taken.
c:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
d:\dowload\программы\nero 7 premium edition 7.7.5.1\KEYGEN.exe (RiskWare.Tool.HCK) -> No action taken.
d:\system volume information\_restore{0e8be996-f7ae-4e74-9f9c-c03d54d2990d}\RP12\A0019020.exe (Rogue.CasinoTropez) -> No action taken.
d:\system volume information\_restore{0e8be996-f7ae-4e74-9f9c-c03d54d2990d}\RP12\A0019100.exe (PUP.Casino) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.
c:\WINDOWS\system32\MRS.exe (Backdoor.Bot) -> No action taken.

Эти файлы запакуйте в архив с паролем virus

c:\WINDOWS\system32\inetsrv\iissync.exe (Virus.Expiro) -> No action taken.
c:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> No action taken.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT (http://safezone.cc/forum/showthread.php?t=9):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local


Повторите логи RSIT (http://safezone.cc/forum/showthread.php?t=15)

готово

Как самочувствие системы?

в данный момент дико тупит, MBAM чистит все что нашел(
а на счет инета, то кажется заработало, по крайней мере больше не перенаправляет) огромное спасибо за помощь
а где именно сидел то вирус?
просто как словил его я понял, вчера открыл exe'шный архив, и система сразу ушла в ребут, дальше началось перенаправление

В посте №3 указал.

Как почистите в MBAM будет перезагрузка.

Пришлите архив, о котором я Вас просил.

Затем выполните скрипт в AVZ:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{710EB7A1-45ED-11D0-924A-0020AFC7AC4D}');
DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
RebootWindows(true);
end.

Компьютер перезагрузится, затем отпишитесь о самочувствии

файл я отправил, там архив quarantine.zip
скрипт выполнил, вроде все нормально)
еще рекомендации будут?)

Да, конечно:

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5) и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

Adobe Flash Player (http://get.adobe.com/ru/flashplayer/otherversions/)
Adobe Reader (http://get.adobe.com/reader/)
Foxit Reader (http://www.foxitsoftware.com/products/reader/)


Карантин так к сожалению не пришел, отправьте мне на мыло: severnyj <at> mail.ru <at>=@

все сделал и файл выслал на указанное мыло