такая же история http://forum.oszone.net/thread-212214.html
вот мои логи

Смотрю логи, скоро отвечу

Monitor.Win32.KeyLogger - сами устанавливали?

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\NOTEPAD.EXE','');
QuarantineFile('C:\WINDOWS\system32\EDWiWtc.exe','');
QuarantineFile('C:\WINDOWS\system32\1cvqTU5.exe','');
QuarantineFile('C:\WINDOWS\system32\148E.tmp','');
QuarantineFile('C:\Documents and Settings\User\Application Data\netprotdrvss.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\userinit.exe','');
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
QuarantineFile('C:\WINDOWS\system32\rnbilml.dll','');
DeleteFile('C:\WINDOWS\system32\rnbilml.dll');
DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
DeleteFile('C:\WINDOWS\system32\1cvqTU5.exe');
DeleteFile('C:\WINDOWS\system32\EDWiWtc.exe');
DeleteFile('C:\WINDOWS\system32\148E.tmp');
DeleteFile('C:\Documents and Settings\User\Application Data\netprotdrvss.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\userinit.exe');
DelBHO('{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Повторите логи AVZ и RSIT (http://safezone.cc/forum/showthread.php?t=15)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

спасибо сейчаспопробую. насчет Monitor.Win32.KeyLogger не знаю, а что это м.б.?

пока эти файлы. Malwarebytes' Anti-Malware ещё сканирует.

Уже получше жду лога MBAM,
затем сделайте еще лог UVS (http://safezone.cc/forum/showthread.php?t=14508)

1cvqTU5.exe - Trojan.Win32.Jorik.Shiz.gd
netprotdrvss.exe - Trojan.Win32.VBKrypt.efma
rnbilml.dll - Trojan.Win32.Mondere.hc

я вчера сам так и не дождался пока MBAM всё отсканирует. слишком много мусора на компе, жаль, что нельзя сделать выборочное сканирование. поэтому шлю вам только часть лога, там он ругнулся на totalcmd. также прикрепляю лог UVS. спасибо!

Выполните скрипт в UVS (http://safezone.cc/forum/showthread.php?t=14509)

;uVS v3.68 script [http://dsrt.dyndns.org]

delall %SystemRoot%\TEMP\MC22.TMP
deltmp
restart

Компьютер перезагрузится.

Как самочувствие системы?

самочувствие нормально. проблема устранена. спасибо большое!!!

Жду лога MBAM, затем будут даны окончательные рекомендации.

к вечеру постараюсь сделать

Хорошо, жду

вот наконец-то. что скажите?

Удалите в MBAM все кроме:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avz.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\hijackthis.exe (Security.Hijack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Value: ForceClassicControlPanel -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
c:\Games\GTAIV\launchgtaiv.exe (Risktool.Crack) -> No action taken.
c:\WINDOWS\green fields.scr (Malware.Packer.Gen) -> No action taken.

Сделайте лог RSIT для контроля

вот лог. правда punto switcher перестал работать, переустановлю сейчас.

Выполните скрипт в АВЗ (http://safezone.cc/forum/showthread.php?t=10) (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\Documents and Settings\User\Application Data\winxzip', '*.*', true);
DeleteDirectory('C:\Documents and Settings\User\Application Data\winxzip');
RebootWindows(true);
end.

Компьютер перезагрузится.

Внимание! Смените все пароли ICQ, Контакт, Почта итд

Необходимо очистить ранее созданную точку восстановления и создать новую:
1. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
2. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить


Для предотвращения заражения рекомендуется:
- не работать за компьютером с правами администратора
- не использовать Internet Explorer или отключить в нем ActiveX и настроить безопасность (рекомендуется использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows (http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ru&&thankspage=5) и антивирусного продукта (обновлять антивирусные базы и модули)

Обновите до последних версий:

Adobe Flash Player (http://get.adobe.com/ru/flashplayer/otherversions/)
Mozilla Firefox (http://www.foxitsoftware.com/products/reader/)
Java (http://www.mozilla.com/ru/firefox/)



Как самочувствие системы?

выполнил все рекомендации. все работает!

Желаю больше не болеть!

спасибо за оперативную и профессиональную поддержку!
P.S. где скачать плагин NoScript к Firefox?

Вот здесь

https://addons.mozilla.org/ru/firefox/addon/noscript/

Краткое пособие по плагину:

После установки плагина в углу появиться его значок
Теперь если при заходе на страницу интернета все нормально отображается действий не требуется
Если есть какие-либо проблемы (не качается файл, не играет музыка или видео), щелкаем по значку и разрешаем выполнение скриптов на этой странице
Будьте уверены в странице где разрешаете выполнение скриптов