[Diak]

смог сделать логи только через hijackthis и Deckard's System Scanner. Avz не хочет запускаться, хотя версия рабочая.
При перезагрузке DisableTaskMgr выставляется на 1. Что то в нем еще живет?!

[Pili]

Diak, зверья ещё полно, зоопарк. Вы с помощью AVPTool проверяли систему?
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O2 - BHO: HujApp Class - {8E9F39F8-40EE-4dd2-A439-2A90224E5DB5} - C:\WINDOWS\system32\prxsmr.dll
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
O4 - HKLM\..\Run: [taskmon] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [sfrRsfds.exe] C:\WINDOWS\system32\sfrRsfds.exe
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://vkontakte.ru/uploader/ImageUploader4.cab
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLXakr - C:\WINDOWS\SYSTEM32\WLXakr.dll

Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (если Combofix не запуститься, попробуйте переименовать его в combo-fix.exe и запустить).
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
Как использовать ComboFix - how-to-use-combofix
Скачайте SDFix - описание тут, проверьте компьютер, после проверки прикрепите Report.txt к сообщению.
После Сombofix и SDFix AVZ должен заработать, если не заработает, скачайте AVZ, переименованный в game.exe здесь или avz.exe здесь (если не запустится, попробуйте переименовать в 123.pif) и сделайте логи

[Diak]

не знаю нормально ли это... пофиксил через hijackthis.exe. Запустил ComboFix, когда началось сканирование, вылетел вирус(не помню как он называется, но суть такая: вылетает небольшое окно в котором написано: бла бла бла компьютер будет выключен через столько то секунд).

Нет, через AVPTool я не проверял. Др веб юзал

[Pili]

Diak, перезагрузитесь, и сразу запускаете ComboFix, если будет то же самое, перезагрузитесь и начните со следующего шага (SDFix - в безопасном режиме) и AVZ, не забудьте вместе с логами AVZ выложить лог hijackthis

[Diak]

перезагрузился, запустил Combofix, при сканировании опять вылетела эта штука, но до выключения он успел что то сделать. Все сделал Sdfix'ом затем запустил AVZ. Логи готовы
зы: уже видно что ему стало получше

[Pili]

Отключите восстановление системы!
В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить». На время выполнения скрипта выключите антивирус и firewall, отключите интернет.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('dpti930');
 SetServiceStart('dpti930', 4);
 SetServiceStart('Hmq62', 4);
 SetServiceStart('Yei04', 4);
 SetServiceStart('TosIde', 4);
 SetServiceStart('MS Windows Mouse', 4);
 SetServiceStart('Windows Inet Control Service', 4);
 SetServiceStart('SysmonLogSpooler', 4);
 SetServiceStart('RpcSsSysmonLogSpooler', 4);
QuarantineFile('C:\WINDOWS\system32\MSmouse.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\engqnl.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hmq62.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Yei04.sys','');
QuarantineFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp','');
QuarantineFile('C:\WINDOWS\system32\3076p.exe','');
QuarantineFile('C:\WINDOWS\system32\actmoviet.exe','');
QuarantineFile('C:\WINDOWS\system32\MSmouse.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WLXakr.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\sysfldr.dll','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\sfrRsfds.exe','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\wind32.exe','');
QuarantineFile('C:\WINDOWS\system32\prxsmr.dll','');
QuarantineFile('C:\WINDOWS\VFind.exe','');
QuarantineFile('C:\WINDOWS\system32\1031v.exe','');
QuarantineFile('C:\WINDOWS\system32\1025o.dll','');
QuarantineFile('C:\WINDOWS\win32ole.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst596.exe','');
QuarantineFile('C:\WINDOWS\system32\swin32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst550.exe','');
QuarantineFile('C:\WINDOWS\system32\lnlya.exe','');
QuarantineFile('C:\WINDOWS\system32\WxXK.dll','');
QuarantineFile('C:\WINDOWS\system32\BoKy.dll','');
QuarantineFile('C:\WINDOWS\system32\MxHM.dll','');
QuarantineFile('C:\WINDOWS\system32\Rhxj.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst534.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst563.exe','');
QuarantineFile('C:\WINDOWS\libor.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst593.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564l.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\hnwtse32.dll','');
QuarantineFile('C:\WINDOWS\system32\ahst449.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst472.exe','');
QuarantineFile('C:\WINDOWS\system32\w104018.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst595.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst602.exe','');
QuarantineFile('C:\WINDOWS\system32\ahst564.exe','');
DeleteFile('C:\WINDOWS\system32\MSmouse.exe');
DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
DeleteFile('C:\WINDOWS\system32\3076p.exe');
DeleteFile('C:\DOCUME~1\admkar\LOCALS~1\Temp\16.tmp');
DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hmq62.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Yei04.sys');
DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
DeleteFile('C:\WINDOWS\system32\prxsmr.dll');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\sfrRsfds.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\SYSTEM32\sysfldr.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinNt32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WLXakr.dll');
DeleteFile('C:\WINDOWS\system32\1025o.dll');
DeleteFile('C:\WINDOWS\system32\1031v.exe');
DeleteFile('C:\WINDOWS\system32\swin32.dll');
DeleteFile('C:\WINDOWS\system32\ahst596.exe');
DeleteFile('C:\WINDOWS\win32ole.dll');
DeleteFile('C:\WINDOWS\system32\Rhxj.exe');
DeleteFile('C:\WINDOWS\system32\MxHM.dll');
DeleteFile('C:\WINDOWS\system32\BoKy.dll');
DeleteFile('C:\WINDOWS\system32\WxXK.dll');
DeleteFile('C:\WINDOWS\system32\lnlya.exe');
DeleteFile('C:\WINDOWS\system32\ahst550.exe');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564l.sys');
DeleteFile('C:\WINDOWS\system32\ahst593.exe');
DeleteFile('C:\WINDOWS\libor.exe');
DeleteFile('C:\WINDOWS\system32\ahst563.exe');
DeleteFile('C:\WINDOWS\system32\ahst534.exe');
DeleteFile('C:\WINDOWS\system32\ahst602.exe');
DeleteFile('C:\WINDOWS\system32\ahst595.exe');
DeleteFile('C:\WINDOWS\system32\w104018.exe');
DeleteFile('C:\WINDOWS\system32\ahst472.exe');
DeleteFile('C:\WINDOWS\system32\ahst449.exe');
DeleteFile('C:\WINDOWS\system32\hnwtse32.dll');
DeleteFile('C:\WINDOWS\system32\ahst564.exe');
 DeleteService('SysmonLogSpooler');
 DeleteService('Windows Inet Control Service');
 DeleteService('RpcSsSysmonLogSpooler');
 DeleteService('MS Windows Mouse');
 DeleteService('TosIde');
 DeleteService('Hmq62');
 DeleteService('Yei04');
 DeleteService('dpti930');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('dpti930 ');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\engqnl.sys');
 BC_DeleteFile('C:\WINDOWS\system32\MSmouse.sys');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
пофиксите в hijackthis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://www.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://www.yahoo.com
O20 - Winlogon Notify: WLXakr - C:\WINDOWS\

Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Запустите снова Combofix, если не запустится, скачайте ещё раз и запустите, прикрепите C:\ComboFix.txt к след. сообщению.
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.
Можете также проверить систему с помощью AVPTool

Повторите логи virusinfo_syscheck.zip (AVZ уже можно использовать обычный, обновив базы), hijackthis (у вас HijackThis v1.99.1 - скачайте новую версию HijackThis) и повторите логи DSS

[Котяра]

Цитата Pili:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" »

Этот параметр реестра Microsoft Windows XP отвечает за альтернативную оболочку Microsoft Windows. Она используется при загрузке в безопасном режиме с командной строкой. Некоторые вирусы меняют ее.

[Diak]

сделаем паузу до понедельника? Ноут на работе остался.

[Pili]

Diak, Нет проблем

[Diak]

Добрый день, продолжим?
Все сделал что написано выше.
Вот логи
ЗЫ: Письмо отправил