Снова Autorun.inf
 

Опять в системе ХР появился Autorun.inf, что только не делал, отключил автозагрузку, лечил разными прогами не могу вывести из системы. Переустанавливать не могу, на компе вертится прокси всей фирмы. Вставляю читую флэшку и он пишется в нее через несколько секунд. Удаляю в Farе опять появляется через несколько секунд. Каспер 8-й его не видит, так как система заражена. А вот на чистой системе каспер его ловит. Система тормозит, медлено открываются сетевые диски, больше ничего не замечаю. Подскажите, где он лежит, как с ним справиться?

Через несколько минут выложу

создай с таким именем папку Autorun.inf и все.
Я себе так зделал на флэшке теперь не какой авторан не лезит как уже 2 месяца :)

Немогу найти логи AVZ, программа отсканировала, но ничего не нашла. Если не можете помочь, удаляйте тему.

intranet, дело не в том что она пишет во флэшку, а втом что система тормозит.

Просканировал еще раз AVZ что -то нашел, скоро выложу логи.

Логи прикрепил, помогите.

Dokas, Здравствуйте. Не хватает лога hijackthis
Проверьте файлы
C:\Program Files\\Outlook Express\setup50.exe
C:\WINDOWS\system32\drivers\cctrlu.sys
На virustotal.com или virscan.org, ссылку на рез-т проверки выложите.

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и сделайте лог hijackthis

Ок, постараюсь все сделать завтра на работе. Хотя не совсем понял как сделать лог hijackthis. Автозапуск у меня отключен и давно, даже не знаю как могло произойти заражение. Большое спасибо за вашу работу.

Запустите HijackThis. В появившимся бланке, с пользовательском соглашением, нажмите на кнопку I Accept.. Нажмите на кнопку "Do a system scan and save a logfile". С блокноте откроется файл, запакуйте его и вложите в сообщение или выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из окна лога и вставьте в свое сообщение (Ctrl+V)

Прикрепил, ща буду чистить.

Такие файлы по указанному пути не нашел.

Повторный

Показ скрытых файлов включали? С помощью AVZ - сервис - поиск файлов пробовали искать?
Если файлов нет, значит можно почистить скриптом.
Запустите HiJackThis, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
WinPcap рекомендую деинсталлировать, если не требуется для работы.
Проблемы ещё наблюдаются?

Показ скрытых файлов конечно включен, но их нет. AVZ их тоже не видит.
Запускать этот скрипт в AVZ?
Проблема с Autoranом решилась, а вот открытие сетевых дисков что то смущает. Периодически открытие сетевых дисков подвисает секунд на 5-10. Может это уже не вирус? Может это другие проблеммы в сети?

На ваше усмотрение, скрипт просто почистит реестр, раз файлов нет.
Может. Попробуйте воспользоваться утилитой WinsockFix, предварительно запомните настройки сети.

Пошел по ссылке, скачал утилитку, но не понял её предназначение, что она фиксит?

Сбрасывает настройки Winsock

Выполнил все ваши рекомендации. Вот что заметил:
1.при создании новой папки на сетевом диске система подвисает секунд на пять (это только первый раз, когда заходишь на этот диск, потом папки создаются на ура) затем папка создается и все работает.
2.В диспетчере задач пропали имена пользователей от кого запущена служба или программа, показывает только "бездействие системы" запущено от SYSTEM, остальные процессы - пустое имя пользователя. Это похоже на действия вируса.
Как это исправить?

Да, и еще чуть не забыл, так же долго открываются вордовские файлы с сетевых дисков (секунд 10). Сетевые диски это файловый сервер на Win Server2003. Раньше такого не было, подскажите, что сделать?

Dokas, ок, давайте попробуем провериться другими утилитами.
Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте SDFix, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

Скачайте OTListIt2, сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, LOP Check и Purity Check. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Просканировал, вот лог:
Malwarebytes' Anti-Malware 1.32
Версия базы данных: 1647
Windows 5.1.2600 Service Pack 3

13.01.2009 10:30:57
mbam-log-2009-01-13 (10-30-57).txt

Тип проверки: Полная (C:\|)
Проверено объектов: 190602
Прошло времени: 1 hour(s), 15 minute(s), 34 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 4
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 2
Заражено файлов: 8

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{1408e208-2ac1-42d3-9f10-78a5b36e05ac} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{b0ed4726-5bc8-4e22-a7a8-3074a73ce64e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xvideoplugin.jetvideoplugin.1 (Trojan.BHO) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.

Заражено файлов:
C:\Adminstr\admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Server2003\Adminstr\admin\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\a.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

С остальными утилитками разберусь позднее, в не рабочее время.

Это лог GMER

Лог OTListIt

ComboFix 09-01-11.04 - Admin 2009-01-13 13:25:40.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2047.1379 [GMT 2:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\Рабочий стол\WindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
AV: Антивирус Касперского *On-access scanning disabled* (Outdated)
AV: AntiVir ProfessionalEdition *On-access scanning disabled* (Outdated)
FW: Антивирус Касперского *disabled*
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\The Bat!\thebat.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((((( Files Created from 2008-12-13 to 2009-01-13 )))))))))))))))))))))))))))))))
.

2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-13 09:10 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-10 08:40 . 2009-01-10 08:40 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-10 07:37 . 2009-01-10 07:37 <DIR> d-------- c:\program files\7-Zip
2009-01-09 14:50 . 2009-01-09 14:50 11,264 --a------ c:\windows\system32\drivers\uzixmjq0.sys
2009-01-09 12:09 . 2009-01-09 12:09 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2008-12-24 08:22 . 2008-12-24 08:22 <DIR> d-------- c:\program files\Neat Image
2008-12-19 07:36 . 2008-12-19 07:36 <DIR> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 11:28 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-01-13 11:27 574,088 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-13 11:27 42,395,168 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-13 11:27 219,884 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-01-13 11:27 1,910,816 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-01-13 11:26 --------- d-----w c:\program files\The Bat!
2009-01-13 10:12 --------- d-----w c:\program files\UpsPilot
2009-01-13 09:31 --------- d-----w c:\documents and settings\Admin\Application Data\The Bat!
2009-01-13 08:30 --------- d-----w c:\documents and settings\Admin\Application Data\Desktopicon
2009-01-10 06:40 --------- d-----w c:\program files\Java
2009-01-05 13:06 --------- d-----w c:\program files\ATS Manager
2008-12-30 12:24 --------- d-----w c:\documents and settings\Admin\Application Data\Skype
2008-12-30 09:47 --------- d-----w c:\documents and settings\Admin\Application Data\skypePM
2008-12-23 05:05 --------- d-----w c:\documents and settings\Admin\Application Data\QIP.Online
2008-12-11 05:32 --------- d-----w c:\program files\DU Meter
2008-12-10 05:47 --------- d-----w c:\program files\Unlocker
2008-12-10 05:43 --------- d-----w c:\program files\QIP.Online
2008-12-10 05:32 --------- d-----w c:\program files\QIP
2008-12-09 14:17 --------- d-----w c:\documents and settings\Admin\Application Data\Download Master
2008-11-21 06:23 --------- d-----w c:\program files\QuickTime Alternative
2008-11-21 06:23 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-11-21 06:22 --------- d-----w c:\program files\Real Alternative
2008-10-13 04:15 243 ----a-w c:\documents and settings\Admin\Application Data\fieryads.dat
2006-03-20 14:37 5,689,344 ----a-w c:\program files\mplayerc.exe
.

------- Sigcheck -------

2008-07-16 20:31 584192 371c41f777924f3ea3bfad18c6a04502 c:\windows\system32\user32.dll

2008-07-16 20:31 948224 fd5dd7fc4240e3dffb0bbd40dbabf4b1 c:\windows\system32\wininet.dll

2008-04-15 12:00 361344 eaec6ea32bdabd7622371c10b8d68a17 c:\windows\system32\drivers\tcpip.sys

2008-07-16 20:26 2165248 9c8b91ff9f5cc6c6c17a1593255f46d3 c:\windows\system32\ntkrnlpa.exe

2008-07-16 20:16 2286592 047953a8b30891f5f8f0bf68abfea339 c:\windows\system32\ntoskrnl.exe

2008-07-16 20:29 1597952 5116fc3994df129f40b9ddbccc394195 c:\windows\explorer.exe

2008-07-16 20:29 17408 17a73d46ca1d681cee05658a2f4419da c:\windows\system32\ctfmon.exe

2008-07-16 20:31 76632 ec5b872ac2bf6dea91d1de3e8b8289bf c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2007-02-26 1254912]
"VyChat.exe"="c:\program files\Vypress Chat\VyChat.exe" [2005-07-17 864856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winpower"="c:\program files\UpsPilot\Winpower.exe" [2008-08-29 114688]
"DU Meter"="c:\program files\DU Meter\DUMeter.exe" [2005-02-01 1469952]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-03-01 15872]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SmallProxy\\SmallProxyServer.exe"=
"c:\\Program Files\\Pointdev\\IDEAL Administration\\InstIA.exe"=
"c:\\Program Files\\Vypress Chat\\VyChat.exe"=
"c:\\Program Files\\SmallProxy\\SP_Config.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2008-07-16 119808]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 uzixmjq0;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzixmjq0.sys [2009-01-09 11264]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24592]
S3 avgntdw;avgntdw;\??\c:\program files\AVWin\AVGNTDW.SYS --> c:\program files\AVWin\AVGNTDW.SYS [?]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
S3 IACtrl;IA Analysing v2.0;c:\program files\Pointdev\IDEAL Administration\IACtrl.exe [2008-10-16 118784]
S4 AntiVirMailService;AntiVir Mail Security Service;"c:\program files\AVWin\AVMAILC.EXE" --> c:\program files\AVWin\AVMAILC.EXE [?]
S4 AVEService;AVE Service;"c:\program files\AVWin\AVESVC.EXE" --> c:\program files\AVWin\AVESVC.EXE [?]
S4 AVWUpSrv;AntiVir Update;"c:\program files\AVWin\AVWUPSRV.EXE" --> c:\program files\AVWin\AVWUPSRV.EXE [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{184721d2-d183-11dd-8dd4-001c250cfceb}]
\SHelL\AuToPlAy\CommaNd - F:\utvv.cmd
\SHelL\AutoRun\command - F:\utvv.cmd
\SHelL\EXploRe\cOmmand - F:\utvv.cmd
\SHelL\OPeN\comMand - F:\utvv.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c4-c1d9-11dd-8dbb-001c250cfceb}]
\Shell\AutoRun\command - F:\tbubzt.exe
\Shell\explore\Command - F:\tbubzt.exe
\Shell\open\Command - F:\tbubzt.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{193e55c6-c1d9-11dd-8dbb-001c250cfceb}]
\Shell\AutoRun\command - F:\tbubzt.exe
\Shell\explore\Command - F:\tbubzt.exe
\Shell\open\Command - F:\tbubzt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\Windows Sidebar]
c:\windows\system32\hidec /W c:\program files\Windows Sidebar\VAIO\Tools\REGTLIB.EXE "c:\program files\Windows Sidebar\sidebar.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{34A19196-274E-4D75-9D30-D7A45A0A4178}]
"c:\program files\Windows Sidebar\.\regsvr32.exe" /s wlsrvc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{6B9228DA-9C15-419e-856C-19E768A13BDC}]
"c:\program files\Windows Sidebar\.\regsvr32.exe" /s sbdrop.dll

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{BADA65A0-86B7-462B-B720-CE66655C73F5}]
regsvr32 /s c:\program files\Windows Sidebar\VAIO\.\vshellext.dll
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-thebat_startup - c:\program files\The Bat!\thebat.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.speedtest.net/index.php
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - c:\program files\Download Master\dmaster.exe
TCP: {10430C38-E70A-4287-B824-6A845CF1D8FD} = 192.168.0.250
TCP: {E2446440-1B11-4911-99DB-63F5C16F960A} = 172.16.0.3,193.108.241.1,193.108.241.7
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 13:28:31
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\UpsPilot\monitor.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\progra~1\UpsPilot\wpRMI.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\SmallProxy\Sp_Http.exe
c:\program files\SmallProxy\Sp_PmTcp.exe
c:\program files\SmallProxy\Sp_Socks.exe
c:\program files\Opera\opera.exe
c:\windows\system32\taskmgr.exe
c:\program files\Remote Desktop\mstsc.exe
.
**************************************************************************
.
Completion time: 2009-01-13 13:30:32 - machine was rebooted
ComboFix-quarantined-files.txt 2009-01-13 11:30:29

Pre-Run: 19*561*193*472 байт свободно
Post-Run: 19,446,792,192 байт свободно

WindowsXP-KB310994-SP2-Home-BootDisk-RUS.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional RU" /execute /fastdetect

219

Логи надо было по порядку делать, как написано в посте 21, The Bat по видимому придется переустанавливать.
У файлов
не сошлись сигнатуры, скорее всего вы используете какую-то сборку и не устанавливали официальный WindowsXP SP3
проверьте на virustotal.com
можете проверить и другие файлы из вышеперечисленных,
SmallProxy требуется? Windows Sidebar и VistaDriveIcon можете удалить, если не сильно нужны.
У вас также остались службы
avgntdw
AntiVirMailService
AVEService
AVWUpSrv
и папка c:\program files\AVWin\
можете удалить эти службы (напр. sc stop avgntdw и sc delete avgntdw) и папку, если деинсталлировали (рекомендуется) антивирус (у вас уже есть KAV 2009)
Удалите файлы из папок C:\WINDOWS\Temp\, %userprofile%\Local Settings\Temporary Internet Files\Content.IE5\ и %userprofile%\Local Settings\Temp, очистите корзину, можете очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

http://www.virustotal.com/ru/analisi...2b103ec41f823f
http://www.virustotal.com/ru/analisi...d6265193c9a1c3
http://www.virustotal.com/ru/analisi...0965a4801a8ce1

ComboFix 09-01-11.04 - Admin 2009-01-13 15:26:52.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.2047.1287 [GMT 2:00]
Running from: c:\documents and settings\Admin\Рабочий стол\ComboFix.exe
Command switches used :: c:\documents and settings\Admin\Рабочий стол\CFScript.txt
AV: Антивирус Касперского *On-access scanning disabled* (Outdated)
AV: AntiVir ProfessionalEdition *On-access scanning disabled* (Outdated)
FW: Антивирус Касперского *disabled*
* Created a new restore point

FILE ::
c:\documents and settings\Admin\Application Data\fieryads.dat
c:\windows\System32\ezsidmv.dat
F:\tbubzt.exe
F:\utvv.cmd
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Admin\Application Data\fieryads.dat
c:\windows\System32\ezsidmv.dat

.
((((((((((((((((((((((((( Files Created from 2008-12-13 to 2009-01-13 )))))))))))))))))))))))))))))))
.

2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-01-13 09:10 . 2009-01-13 09:10 <DIR> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes
2009-01-10 08:40 . 2009-01-10 08:40 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-10 07:37 . 2009-01-10 07:37 <DIR> d-------- c:\program files\7-Zip
2009-01-09 14:50 . 2009-01-09 14:50 11,264 --a------ c:\windows\system32\drivers\uzixmjq0.sys
2009-01-09 12:09 . 2009-01-09 12:09 <DIR> d-------- c:\documents and settings\Admin\DoctorWeb
2008-12-24 08:22 . 2008-12-24 08:22 <DIR> d-------- c:\program files\Neat Image
2008-12-19 07:36 . 2008-12-19 07:36 <DIR> d--h----- c:\windows\PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 13:30 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-01-13 13:28 574,088 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-01-13 13:28 42,395,168 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-01-13 13:28 219,884 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-01-13 13:28 1,910,816 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-01-13 13:19 --------- d-----w c:\documents and settings\Admin\Application Data\Skype
2009-01-13 13:15 --------- d-----w c:\program files\Windows Sidebar
2009-01-13 12:19 --------- d-----w c:\program files\ATS Manager
2009-01-13 12:18 --------- d-----w c:\documents and settings\Admin\Application Data\skypePM
2009-01-13 11:52 --------- d-----w c:\program files\The Bat!
2009-01-13 11:52 --------- d-----w c:\documents and settings\Admin\Application Data\The Bat!
2009-01-13 10:12 --------- d-----w c:\program files\UpsPilot
2009-01-13 08:30 --------- d-----w c:\documents and settings\Admin\Application Data\Desktopicon
2009-01-10 06:40 --------- d-----w c:\program files\Java
2008-12-23 05:05 --------- d-----w c:\documents and settings\Admin\Application Data\QIP.Online
2008-12-11 05:32 --------- d-----w c:\program files\DU Meter
2008-12-10 05:47 --------- d-----w c:\program files\Unlocker
2008-12-10 05:43 --------- d-----w c:\program files\QIP.Online
2008-12-10 05:32 --------- d-----w c:\program files\QIP
2008-12-09 14:17 --------- d-----w c:\documents and settings\Admin\Application Data\Download Master
2008-11-21 06:23 --------- d-----w c:\program files\QuickTime Alternative
2008-11-21 06:23 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-11-21 06:22 --------- d-----w c:\program files\Real Alternative
2006-03-20 14:37 5,689,344 ----a-w c:\program files\mplayerc.exe
.

------- Sigcheck -------

2008-07-16 20:31 584192 371c41f777924f3ea3bfad18c6a04502 c:\windows\system32\user32.dll

2008-07-16 20:31 948224 fd5dd7fc4240e3dffb0bbd40dbabf4b1 c:\windows\system32\wininet.dll

2008-04-15 12:00 361344 eaec6ea32bdabd7622371c10b8d68a17 c:\windows\system32\drivers\tcpip.sys

2008-07-16 20:26 2165248 9c8b91ff9f5cc6c6c17a1593255f46d3 c:\windows\system32\ntkrnlpa.exe

2008-07-16 20:16 2286592 047953a8b30891f5f8f0bf68abfea339 c:\windows\system32\ntoskrnl.exe

2008-07-16 20:29 1597952 5116fc3994df129f40b9ddbccc394195 c:\windows\explorer.exe

2008-07-16 20:29 17408 17a73d46ca1d681cee05658a2f4419da c:\windows\system32\ctfmon.exe

2008-07-16 20:31 76632 ec5b872ac2bf6dea91d1de3e8b8289bf c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((( snapshot@2009-01-13_13.29.53.42 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-01-13 11:28:09 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-01-13 13:29:48 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-01-13 11:28:09 16,384 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2009-01-13 13:29:48 16,384 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
- 2009-01-13 11:28:09 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-01-13 13:29:48 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2008-08-07 13:27:48 145,920 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Cghtme.exe
+ 2008-08-07 13:26:56 10,240 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\cliptext.exe
+ 2008-08-07 13:27:00 61,440 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\download.exe
+ 2008-08-07 13:27:08 157,696 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\ERUNT.EXE
+ 2008-08-07 13:27:10 27,136 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\FixPath.exe
+ 2008-08-07 13:27:12 80,412 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\grep.exe
+ 2008-08-07 13:27:14 33,280 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\isadmin.exe
+ 2003-12-08 22:31:00 11,254 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\locate.com
+ 2008-08-07 13:27:16 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\LS.exe
+ 2008-08-07 13:27:16 6,656 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\MD5File.exe
+ 2008-08-07 13:27:16 38,400 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\moveex.exe
+ 2008-08-07 13:27:18 53,248 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Process.exe
+ 2008-08-07 13:27:20 16,414 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\procs.exe
+ 2008-08-07 13:27:20 61,440 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\psservice.exe
+ 2008-08-07 13:27:22 146,432 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\regedit.exe
+ 2008-08-07 13:27:22 4,080 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\beep.sys
+ 2003-06-19 09:05:04 50,620 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\command.com
+ 2008-08-21 07:45:48 2,855 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\command.PIF
+ 2008-08-07 13:27:22 2,800 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\w2k\null.sys
+ 2008-08-07 13:27:24 4,224 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\beep.sys
+ 2001-08-18 10:00:00 50,620 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\command.com
+ 2008-08-21 07:45:42 2,855 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\command.PIF
+ 2008-08-07 13:27:24 2,944 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Replace\xp\null.sys
+ 2008-08-07 13:27:26 8,192 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\RestartIt!.exe
+ 2008-08-07 13:27:28 31,232 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\sc.exe
+ 2008-08-07 13:27:28 98,816 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\sed.exe
+ 2008-08-07 13:27:30 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\SF.exe
+ 2008-08-07 13:27:30 19,456 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\shutdown.exe
+ 2008-08-07 13:27:36 278,016 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\Swreg.exe
+ 2008-08-07 13:27:38 40,960 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\swsc.exe
+ 2008-09-16 17:17:22 204,800 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\UnRAR.exe
+ 2008-08-07 13:27:42 167,936 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\unzip.exe
+ 2008-08-07 13:27:44 49,152 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\vfind.exe
+ 2008-08-07 13:27:44 41,472 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\WINMSG.EXE
+ 2008-08-07 13:27:46 126,976 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\apps\zip.exe
+ 2008-08-07 13:27:48 145,920 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\catchme.exe
+ 2008-10-08 21:41:44 11,932 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\DBFix.bat
+ 2008-11-05 22:58:41 964,661 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Рабочий стол\SDFix\SDFix\RunThis.bat
- 2009-01-13 11:26:24 169,787 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\cookies4.dat
+ 2009-01-13 13:25:48 169,896 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\cookies4.dat
- 2009-01-13 11:26:24 3,632 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\download.dat
+ 2009-01-13 11:34:26 3,535 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\download.dat
- 2009-01-13 11:26:24 1,145,936 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\global.dat
+ 2009-01-13 13:23:26 1,144,119 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Opera\Opera\profile\global.dat
- 2008-12-30 09:57:46 132,096 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Skype\master6101\dyncontent\bundle.dat
+ 2009-01-13 12:28:43 132,096 ----a-w c:\windows\system32\Server2003\Adminstr\admin\Application Data\Skype\master6101\dyncontent\bundle.dat
- 2009-01-13 11:25:42 32,768 --sha-w c:\windows\system32\Server2003\Adminstr\admin\Cookies\index.dat
+ 2009-01-13 13:26:55 32,768 --sha-w c:\windows\system32\Server2003\Adminstr\admin\Cookies\index.dat
- 2009-01-13 11:26:45 4,718,592 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\NTUSER.DAT
+ 2009-01-13 13:28:14 4,345,856 ---ha-w c:\windows\system32\Server2003\Adminstr\admin\NTUSER.DAT
- 2004-12-13 05:20:04 6,995 ----a-w c:\windows\system32\spool\drivers\w32x86\3\ssgr3en.DAT
+ 2009-01-13 12:29:41 7,014 ----a-w c:\windows\system32\spool\drivers\w32x86\3\ssgr3en.DAT
+ 2009-01-13 13:29:46 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_7d4.dat
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]
"VyChat.exe"="c:\program files\Vypress Chat\VyChat.exe" [2005-07-17 864856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Winpower"="c:\program files\UpsPilot\Winpower.exe" [2008-08-29 114688]
"DU Meter"="c:\program files\DU Meter\DUMeter.exe" [2005-02-01 1469952]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2008-03-01 15872]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-07-16 17408]
"VistaIcon"="c:\program files\VistaDriveIcon\VistaDrv.exe" [2008-03-23 132096]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

c:\documents and settings\Admin\ѓ«*ў*®Ґ ¬Ґ*о\Џа®Ја*¬¬л\Ђўв®§*Јаг§Є*\
HandyCache.lnk - d:\handycacherc1.1.0.0.64\HandyCache.exe [2008-09-17 968192]
SmallProxyServer.lnk - c:\program files\SmallProxy\SmallProxyServer.exe [2008-09-11 426496]
SP_Config.lnk - c:\program files\SmallProxy\SP_Config.exe [2008-09-11 1482240]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UpdatesOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SmallProxy\\SmallProxyServer.exe"=
"c:\\Program Files\\Pointdev\\IDEAL Administration\\InstIA.exe"=
"c:\\Program Files\\Vypress Chat\\VyChat.exe"=
"c:\\Program Files\\SmallProxy\\SP_Config.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 ahcix86;ahcix86;c:\windows\system32\drivers\ahcix86.sys [2008-07-16 119808]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R1 uzixmjq0;AVZ-RK Kernel Driver;c:\windows\system32\drivers\uzixmjq0.sys [2009-01-09 11264]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24592]
S3 FXDrv32;FXDrv32;\??\e:\fxdrv32.sys --> e:\FXDrv32.sys [?]
S3 IACtrl;IA Analysing v2.0;c:\program files\Pointdev\IDEAL Administration\IACtrl.exe [2008-10-16 118784]
S4 AntiVirMailService;AntiVir Mail Security Service;"c:\program files\AVWin\AVMAILC.EXE" --> c:\program files\AVWin\AVMAILC.EXE [?]
S4 AVEService;AVE Service;"c:\program files\AVWin\AVESVC.EXE" --> c:\program files\AVWin\AVESVC.EXE [?]
S4 AVWUpSrv;AntiVir Update;"c:\program files\AVWin\AVWUPSRV.EXE" --> c:\program files\AVWin\AVWUPSRV.EXE [?]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.speedtest.net/index.php
IE: &Экспорт в Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Закачать ВСЕ при помощи Download Master - c:\program files\Download Master\dmieall.htm
IE: Закачать при помощи Download Master - c:\program files\Download Master\dmie.htm
IE: {{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - c:\program files\Download Master\dmaster.exe
TCP: {10430C38-E70A-4287-B824-6A845CF1D8FD} = 192.168.0.250
TCP: {E2446440-1B11-4911-99DB-63F5C16F960A} = 172.16.0.3,193.108.241.1,193.108.241.7
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-13 15:30:16
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(1048)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\cscui.dll
c:\windows\system32\COMRes.dll

- - - - - - - > 'lsass.exe'(1104)
c:\windows\system32\relog_ap.dll

- - - - - - - > 'explorer.exe'(6600)
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\MSVCP60.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\program files\Common Files\Acronis\Schedule2\schedul2.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\progra~1\UpsPilot\monitor.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\progra~1\UpsPilot\wpRMI.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\UpsPilot\jre\bin\javaw.exe
c:\program files\SmallProxy\Sp_Http.exe
c:\program files\SmallProxy\Sp_PmTcp.exe
c:\program files\SmallProxy\Sp_Socks.exe
.
**************************************************************************
.
Completion time: 2009-01-13 15:31:53 - machine was rebooted
ComboFix-quarantined-files.txt 2009-01-13 13:31:49
ComboFix2.txt 2009-01-13 11:30:34

Pre-Run: 19,349,405,696 байт свободно
Post-Run: 19,327,873,024 байт свободно

254

Службы от c:\program files\AVWin\ остались, а так по логам чисто.
Проблемы ещё наблюдаются?

AVWin даже папки нет, как может работать служба?
Проблемы теже, в диспетчере задач нет имен пользователей от кого запущена служба или программа. И по сети проблемы остались.
Подскажите, может это вирусы на файловом сервере?(имею ввиду проблеммы с открытие файлов из сетевых дисков). Может его посканить? Подскажите какими утилитами?

Я разве говорил что работают? Я написал что Службы от c:\program files\AVWin\ остались, возможно это остатки (мусор) в реестре
Это не вирусная проблема - дипетчер задач - вид - выберите что будет отображаться.
Дважды нажать мышкой на верхней панели окна диспетчера задач пробовали?
Эти программы тоже могут влиять, т.к. меняют внешний вид и многое другое. Вы пробовали удалить?
Попробуте применить твик реестра
Сохраните перед этим ветку реестра HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\TaskManager

winsockfix пробовали применять? На других раб. станциях та же проблема? Сетевую карту пробовали менять или драйвера переустанавливать? К админу сети обращались? Сеть на предмет потери пакетов и коллизий тестировали? Порт/коммутатор тестировали, провода пробовали переобжимать? Фаервол (в антивирусах KAV/KIS он тоже есть) пробовали настраивать? В разделе Сетевые технологии пробовали смотреть/искать/спрашивать?

Pili, Спасибо за помощь. На других раб. станциях та же проблема по сети (первый раз обращение к сетевому диску около 10сек потом нормально), завтра буду разбираться дальше. А в диспечере задач выбраны галочки по умолчанию, в том числе и имя пользователя, но не отображает. Подозреваю на прокси сервер SmallProxy, так как другие программы, в том числе и перечисленные вами, стоят на всех рабочих станциях и с диспетчером проблем нет. Еще раз огромное спасибо.

Dokas, Пожалуйста. твик реестра пробовали применить? Поиском по форуму по ключ. словам "Диспетчер задач" пробовали воспользоваться? Напр. в теме
Диспетчер задач (Task Manager) смотрели?

Pili, Твик применять не пробовал, не знаю как это сделать. Остальное буду читать.

Сохраните текст как fix.reg и примените или воспользуйтесь готовым reg файлом

Пробовал не помогло. С вашей помощью прочел ветку помгло включение службы терминалов. Теперь не знаю как и быть, что выбрать? пользователей в диспетчере задач или отключение службы терминалов, ведь это небезопасная служба. Вам огромное спасибо. Теперь буду разбираться с сетью.

Её вполне безопасно можно использовать, если настроить фаервол.
Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь, советую также прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"
Дополнительно можете протестировать/настроить безопасность с помощью Belarc Advisor доп. см. здесь

Ок, спасибо вам и всем админам за то, что есть такой прекрасный форум.

Пожайлуйста, обращайтесь, если будут проблемы с вирусами на этом или другом компьютере.
Чистого вам интернета!
Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил