[Pili]

zeroua, зловредов не видно, можете пофиксить

Цитата:

O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing) O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Нестабильность вероятно наблюдается из за

Цитата:

Event Record #/Type1647 / Error Event Submitted/Written: 09/14/2008 03:54:37 AM Event ID/Source: 7000 / Service Control Manager Event Description: Сбой при запуске службы "ASInsHelp" из-за ошибки

связано с ASUS AI Booster, ASUS Cool&Quit или asus pc probe, если есть такое ПО, попробуйте деинсталлировать, заодно и украшательство VistaDriveIcon можете попробовать удалить.

[zeroua]

Pili,

Цитата Pili:

связано с ASUS AI Booster, ASUS Cool&Quit или asus pc probe, если есть такое ПО »

, да стояло но было снесено причем вроде правильно через "установка удаление программ" ну ничего поищу хвосты ...

[zeroua]

Pili, может подскажете как эту гадость почистить я про ASUS AI Booster, ASUS Cool&Quit или asus pc probe, а то осталась только папка, но гдето есть хвосты, может утилита какая есть для удаления такого рода приложений ...

[Pili]

zeroua, можно скриптом AVZ почистить хвосты

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\AsInsHelp32.sys','');
 SetServiceStart('ASInsHelp', 4);
 DeleteService('ASInsHelp');
 DeleteFile('C:\WINDOWS\system32\drivers\AsInsHelp32.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

А можете попробовать например JV16 PT и пр., см. тут

[zeroua]

Не было желания создавать новую тему выложу логи в этом сообщении:
З.Ы. причины нестабильность системы, а именно 3-5минутные подвисания после перезагрузки или при первом старте, а сегодня днем вообще вместо скорости интернета 1000/100 выдает не больше чем 150/15 правда было два раза просветление и скорость стала нормальной ...

[Pili]

C:\Program Files\Anyplace Control 4\apc_host.exe - д.б. not-a-virus:RemoteAdmin.Win32.AnyplaceControl по KAV, программу сами ставили? Рекомендую деинсталлировать.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Anyplace Control Security', 4);
 QuarantineFile('C:\Documents and Settings\user32\Рабочий стол\psc2071\winio.sys','');
 QuarantineFile('c:\windows\system32\taskswitch.exe','');
 TerminateProcessByName('c:\windows\svcadmin.exe');
 QuarantineFile('c:\windows\svcadmin.exe','');
 DeleteFile('c:\windows\svcadmin.exe');
 DeleteService('Anyplace Control Security');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('Anyplace Control Security');
BC_Activate;
RebootWindows(true);
end.

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

Повторите логи virusinfo_syscheck.zip и hijackthis

[zeroua]

Цитата Pili:

программу сами ставили? »

, да ставил сам, но потом удалил, хотя было видно что остались хвосты думал что почистил хвосты ... все ваши рекомендации выполнил ...

Цитата Pili:

Файл quarantine.zip отправьте на user15802[at]mail.ru, в письме укажите ссылку на тему »

, отправил.

[Pili]

C:\Documents and Settings\user32\Рабочий стол\psc2071\winio.sys - в карантин не попал, поищите вручную и проверьте на virustotal.com
Остатки от Anyplace Control 4 можете почистить скриптом, но рекомендую использовать для удаления стандартные средства или сторонние утилиты.

Код:

begin
 DeleteFile('C:\Program Files\Anyplace Control 4\apc_host.exe');
 DeleteService('APC-Host');
ExecuteSysClean;
RebootWindows(true);
end.

можете еще пофиксить

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)

195.42.130.2,195.42.130.3 - ваши DNS?
По логам зловредного не видно, попробуйте деинсталлировать Prio Process Control и украшательства (VistaDriveIcon и пр.), у вас какая-то сборка windows (многие системные файлы не прошли по базе безопасных AVZ), может от этого проблемы, попробуйте установить официальный SP3, также у вас много записей в hosts файле, возможно замедление работы в интернет.
Можете ещё провериться с помощью MBAM и ComboFix
Скачайте Malwarebytes' Anti-Malware - здесь, здесь или здесь. Установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол.
Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console.
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt в сообщение или запакуйте C:\ComboFix.txt и прикрепите к сообщению
Как использовать ComboFix - how-to-use-combofix и здесь

[zeroua]

Цитата Pili:

195.42.130.2,195.42.130.3 - ваши DNS? »

, да мои ... использую собранную своими ручками сборку ... проблемы начались буквально недавно ... hosts, это наверное после роботы Spybot - Search & Destroy v1.6, попробую последовать некоторым из ваших рекомендаций ...

Цитата Pili:

C:\Documents and Settings\user32\Рабочий стол\psc2071\winio.sys - в карантин не попал, поищите вручную и проверьте на virustotal.com »

, такого файла как по указанному адресу, так и вообще в системе нету ...

Использую оригинальный образ от МС с СП3

Pili, я так понял мне нужно использовать WindowsXP-KB310994-SP2-Pro-BootDisk-RUS.exe, а то я с первого раза когда прочитал не понял в чем суть ...

Код:

Malwarebytes' Anti-Malware 1.31
Database version: 1474
Windows 5.1.2600 Service Pack 3

08.12.2008 18:00:16
mbam-log-2008-12-08 (18-00-16).txt

Scan type: Full Scan (C:\|D:\|E:\|)
Objects scanned: 119367
Time elapsed: 28 minute(s), 48 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)