[Pili]

Цитата merdok5:

Пожалуйста напишите хэлпик по рековери консоле. »

Восстановление системы и см. здесь
Удалите WinPcap. Новый файл info.txt от RSIT не выложили, прикрепите к след. сообщению.
Проверьте C:\windows\system32\drivers\Ksuntpioo.sys на virustotal.com
Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи и прикрепите к сообщению

[merdok5]

Спасибо. Сомое интересное, что когда запустил RSIT он только сделал лог а info.txt не появился. Запускал 2 раза тоже сомое. Потому и выслал только лог.
А файла Ksuntpioo.sys в директории C:\windows\system32\drivers\ я у себя не нашол.
Вот логи:

[merdok5]

Цитата Pili:

Удалите WinPcap »

Где он есть я его не нашол?

[merdok5]

получилось с логами RSIT.

[merdok5]

Нашол программу SkyGrabber где был замечен файл WinPcap и я ее деинсталировал.

[Pili]

По логам OTViewIt тоже чисто

Цитата merdok5:

А файла Ksuntpioo.sys в директории C:\windows\system32\drivers\ я у себя не нашол. »

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

File::
C:\windows\system32\drivers\Ksuntpioo.sys
Driver::
Ksuntpioo

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение
Пофиксите в HJT

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DFC9184-85FC-4ABF-B9D4-06B11224885C}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8DEAE20-7C48-429E-B0EC-C97BCBFCAC73}: NameServer = 85.255.116.154 85.255.112.155

Отключите антивирус, скачайте Smitfraudfix
Инструкция здесь и здесь
После окончания сканирования выложите файл C:\rapport.txt в следующее сообщение.

[merdok5]

Сделал три лога Combofix.
В первом я забыл отключить антивирус и файрвол.
Второй раз у меня обновился combofix до новой ерсии, антивирус и файрвол отключил.
И мне еще удалось сделать с WindowsXP-KB310994-SP2-Pro-BootDisk-RUS, что раньше не удалось.
Проблема осталась.
Вот логи:

[merdok5]

Пофиксить мне только удалось строчку O17 - HKLM\System\CCS\Services\Tcpip\..\{3DFC9184-85FC-4ABF-B9D4-06B11224885C}: NameServer = 192.168.1.1
Второй я в в HJT не обнаружил.

С программой Smitfraudfix я сделал только один пункт 1 - поиск.
Вот лог:

[merdok5]

Еще открыл установку и удалении програм и увидел Bonjour. Удалить от туда не вышло. Но мы с вами его уже удаляли? Делал все как вы писали.

[Pili]

Цитата merdok5:

Второй я в в HJT не обнаружил. »

был по посл. логу RSIT

192.168.1.1, 85.255.116.154 85.255.112.155 - ваши DNS сервера?

Цитата:

85.255.116.154, 85.255.112.155 organisation: ORG-UL25-RIPE org-name: UkrTeleGroup Ltd. org-type: LIR address: UkrTeleGroup Ltd. Mechnikova 58/5 65029 Odessa Ukraine phone: +380487311011 fax-no: +380487502499 mnt-ref: UKRTELE-MNT mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT source: RIPE # Filtered person: Andrew Sotov address: Mechnikova 58/5 65029 Odessa

Цитата merdok5:

открыл установку и удалении програм и увидел Bonjour »

Если скрипт здесьвыполняли и рекомендации здесь выполнили, то удалили, по логам в сервисах и в LCP нет модулей Bonjour
По логу Smitfraudfix тоже ничего подозрительного. Вряд ли проблема в зловредах, т.к. перебрасывает на легитимный сайт msn.com, проблема в DNS сервере или у вас просто нет необходимых библиотек (IE8), попробуйте вернутся на IE7, можете установить Windows в реж. восстановления (рекомендация уже была)
Зато драйвер NPF от Winpcap (судя по слогам Combofix, утилита его постоянно удаляет) восстанавливается после перезагрузки, в принципе он легитимный и не представляет угрозы, но если не нужен (и не сами ставили), лучше удалить совсем.
Можете ещё провести сканирование с помощью F-Secure Online Scanner, утилита умеет лечить, лог после сканирования (Show report ) можете выложить.