посмотрите лог, пжлст

[Tex]

ComboFix 09-01-08.05 — UserX 2009-01-09 17:15:47.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.2030.1444 [GMT 3:00]
Running from: c:documents and settingsUserXРабочий столComboFix.exe
AV: avast! antivirus 4.8.1296 [VPS 090108-0] *On-access scanning disabled* (Outdated)
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:program filesHelper
c:program filesHelperall.bat
c:program filesHelperall.cmd
c:program filesHelperall.lnk
c:program filesHelperall98.lnk
c:program filesHelperd.lnk
c:program filesHelperdel.cmd
c:program filesHelperdel.lnk
c:program filesHelperdhcp.lnk
c:program filesHelperdhcp98.lnk
c:program filesHelperfiles.url
c:program filesHelpergames.url
c:program filesHelpergetmac.exe
c:program filesHelperhelper.chm
c:program filesHelperinfo.exe
c:program filesHelperinfo.url
c:program filesHelperip.cmd
c:program filesHelperip.lnk
c:program filesHelperip98.bat
c:program filesHelperip98.lnk
c:program filesHelpermac.cmd
c:program filesHelpermac.lnk
c:program filesHelperp.lnk
c:program filesHelperp2p.url
c:program filesHelperping.cmd
c:program filesHelperping.exe
c:program filesHelperping.lnk
c:program filesHelperr.lnk
c:program filesHelperrenew.cmd
c:program filesHelperrenew.lnk
c:program filesHelperrenew98.bat
c:program filesHelperrenew98.lnk
c:program filesHelperroute.cmd
c:program filesHelperroute.exe
c:program filesHelperroute.lnk
c:program filesHelperstat.url
c:program filesHelpert.lnk
c:program filesHelpertrace.cmd
c:program filesHelpertrace.lnk
c:program filesHelperv.lnk
c:program filesHelpervideo.url
c:program filesHelpervpn.cmd
c:program filesHelpervpn.lnk
c:program filesHelperw.lnk
c:program filesHelperwww.cmd
c:program filesHelperwww.lnk
c:program filesINSTALL.LOG
c:windowssystem32phc5f7j0egfe.bmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_OREANS32

---

Service_oreans32

((((((((((((((((((((((((( Files Created from 2008-12-09 to 2009-01-09 )))))))))))))))))))))))))))))))
.

2009-01-06 12:07 . 2009-01-06 12:07

d

---

c:documents and settingsAll UsersApplication DataNevoSoft Games
2008-12-19 15:33 . 2008-12-19 15:33 d

---

c:program filesEpangsoft
2008-12-17 18:09 . 2008-12-17 18:09 d

---

c:documents and settingsUserXApplication DataAnabel
2008-12-17 15:05 . 2008-12-17 15:05 d

---

C:My Music
2008-12-17 15:04 . 2008-12-17 15:04 d

---

c:program filesReal
2008-12-17 15:04 . 2008-12-17 15:04 d

---

c:program filesCommon Filesxing shared
2008-12-17 15:04 . 2008-12-17 15:04 d

---

c:program filesCommon FilesReal

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-07 06:39

---

d

---

w c:program filesDC++
2009-01-06 09:30

---

d

---

w c:program filesИгры от NevoSoft
2008-12-25 19:31

---

d

---

w c:documents and settingsUserXApplication DataskypePM
2008-12-25 19:31

---

d

---

w c:documents and settingsUserXApplication DataSkype
2008-12-23 18:42 304,160 —-a-w C:StiImg.dat
2008-12-18 05:51

---

d—a-w c:documents and settingsAll UsersApplication DataTEMP
2008-12-08 13:12

---

d

---

w c:program filesFontExpert
2008-12-08 13:12

---

d

---

w c:documents and settingsUserXApplication DataProxima Software
2008-11-12 18:05

---

d

---

w c:documents and settingsAll UsersApplication DataAstar Games
2008-01-24 16:41 32 —-a-w c:documents and settingsAll UsersApplication Dataezsid.dat
2007-12-25 06:51 561,152 —-a-w c:documents and settingsUserXTlc.exe
2007-07-22 11:33 23 -c—a-w c:program fileshfkud16.sys
2003-07-28 20:15 307,200 —-a-w c:program filesinternet explorerpluginsdjvu0407.dll
2003-07-28 20:15 303,104 —-a-w c:program filesinternet explorerpluginsdjvu0409.dll
2003-07-28 20:15 311,296 —-a-w c:program filesinternet explorerpluginsdjvu040c.dll
2003-07-28 20:15 299,008 —-a-w c:program filesinternet explorerpluginsdjvu0411.dll
2003-07-28 20:15 299,008 —-a-w c:program filesinternet explorerpluginsdjvu0412.dll
2003-07-28 20:15 290,816 —-a-w c:program filesinternet explorerpluginsdjvu0804.dll
2003-07-28 20:15 122,880 —-a-w c:program filesinternet explorerpluginsDjVuCntl.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2003-08-18 15360]
«NCLaunch»=»c:windowsNCLAUNCH.EXe» [2007-12-25 40960]
«Punto Switcher»=»c:program filesPunto Switcherpunto.exe» [2008-10-07 734504]
«BitComet»=»c:program filesBitCometBitComet.exe» [2008-03-25 2196280]
«Infium»=»e:qip infiuminfium.exe» [2008-12-09 5062144]
«QIP2005″=»c:program filesQIPqip.exe» [2006-10-18 3112960]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2006-05-11 151552]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2006-06-23 98304]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2006-06-23 86016]
«Persistence»=»c:windowssystem32igfxpers.exe» [2006-06-23 81920]
«IntelAudioStudio»=»c:program filesIntel Audio StudioIntelAudioStudio.exe» [2006-08-02 9134080]
«ipTray.exe»=»c:program filesIntelIDUiptray.exe» [2006-11-24 2209792]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2007-01-08 68640]
«mouseElf»=»c:progra~1TWINTO~1MouseElf.EXE» [2004-08-26 192512]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-10-02 2165272]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2007-10-05 8491008]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2007-10-05 81920]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2008-11-26 81000]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-12-17 185896]
«nwiz»=»nwiz.exe» [2007-10-05 c:windowssystem32nwiz.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2003-08-18 15360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«vidc.dvsd»= pdvcodec.dll
«VIDC.MJPG»= Pvmjpg30.dll
«msacm.l3fhg»= mp3fhg.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«vidc.i420″= i420vfw.dll
«msacm.ac3filter»= ac3filter.acm
«msacm.divxa32″= divxa32.acm

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Acrobat Speed Launcher.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Acrobat Speed Launcher.lnk
backup=c:windowspssAdobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Gamma.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Gamma.lnk
backup=c:windowspssAdobe Gamma.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Быстрый запуск AutoCAD.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаБыстрый запуск AutoCAD.lnk
backup=c:windowspssБыстрый запуск AutoCAD.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаУскоренный запуск Adobe Reader.lnk
backup=c:windowspssУскоренный запуск Adobe Reader.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^UserX^Главное меню^Программы^Автозагрузка^Total Commander.lnk]
path=c:documents and settingsUserXГлавное менюПрограммыАвтозагрузкаTotal Commander.lnk
backup=c:windowspssTotal Commander.lnkStartup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcrobat Assistant 7.0]
—a—c— 2004-12-14 02:12 483328 c:program filesAdobeAcrobat 7.0Distillracrotray.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregArcSoft Connection Service]
—a

---

2007-10-08 10:03 31232 c:program filesCommon FilesArcSoftConnection ServiceBinACDaemon.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a

---

2006-11-16 19:04 139264 c:program filesCommon FilesAheadLibNMBgMonitor.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBitComet]
—a

---

2008-03-25 09:38 2196280 c:program filesBitCometBitComet.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregLanguageShortcut]
—a—c— 2007-01-08 22:17 52256 c:program filesCyberLinkPowerDVDLanguageLanguage.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
—a—c— 2006-01-12 15:40 155648 c:program filesCommon FilesAheadLibNeroCheck.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregPicasa Media Detector]
—a

---

2008-02-26 04:23 443968 c:program filesPicasa2PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSunJavaUpdateSched]
—a—c— 2004-06-03 22:05 32881 c:program filesJavaj2re1.4.2_05binjusched.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregYupdate!]
—a

---

2007-12-06 18:00 455432 c:program filesCommon FilesYandexYupdateyupdate.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Nero\Nero 7\Nero ShowTime\ShowTime.exe»=
«c:\Program Files\DC++\DCPlusPlus.exe»=
«c:\Program Files\eMule\emule.exe»=
«c:\Program Files\BitComet\BitComet.exe»=
«c:\Program Files\Opera\Opera.exe»=
«c:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe»=
«c:\Program Files\Total Commander\Totalcmd.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\umi.exe»=
«c:\Program Files\VideoLAN\VLC\vlc.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\Windows Live\Messenger\msnmsgr.exe»=
«c:\Program Files\Windows Live\Messenger\livecall.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«27595:TCP»= 27595:TCP:BitComet 27595 TCP
«27595:UDP»= 27595:UDP:BitComet 27595 UDP

R0 pe3alcnb;KDS-PvO Environment Driver (pe3alcnb);c:windowssystem32driverspe3alcnb.sys [2007-08-20 64624]
R0 ps7alcnb;KDS-PvO Synchronization Driver (ps7alcnb);c:windowssystem32driversps7alcnb.sys [2007-08-20 68216]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-09-21 111184]
R1 NVKEYNT;NVKEYNT;c:windowssystem32driversNVKEYNT.SYS [2007-08-26 71680]
R1 uzezmza0;AVZ-RK Kernel Driver;c:windowssystem32driversuzezmza0.sys [2007-11-22 11264]
R1 uzy3oty4;AVZ-RK Kernel Driver;c:windowssystem32driversuzy3oty4.sys [2008-01-17 11264]
R3 genmcmnUSB;USB Scroll Mouse Driver;c:windowssystem32driversgflmouhid.sys [2007-02-15 6656]
R4 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2008-09-21 20560]
R4 osaio;osaio;c:windowssystem32driversosaio.sys [2007-02-15 6784]
S3 NVKEYUSB;Guardant Stealth I/II USB Key;c:windowssystem32driversNVKEYUSB.SYS [2007-08-26 38400]
S3 PAC207;VideoCAM GF112;c:windowssystem32driverspfc027.sys [2005-04-08 162176]
S4 pr2alcnb;KDS-PvO Drivers Auto Removal (pr2alcnb);c:windowssystem32pr2alcnb.exe svc —> c:windowssystem32pr2alcnb.exe svc [?]
S4 RasAutoTrkWks;Диспетчер авто-подключений удаленного доступа RasAutoTrkWks;р%Ђ|x srv —> р%Ђ|x srv [?]
S4 RDSessMgrwscsvc;Диспетчер сеанса справки для удаленного рабочего стола RDSessMgrwscsvc;р%Ђ|x srv —> р%Ђ|x srv [?]
S4 WebClientNetman;Веб-клиент WebClientNetman;р%Ђ|x srv —> р%Ђ|x srv [?]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{bd24b653-85ef-11dc-a5b4-0030849dfd2c}]
ShellAutoRuncommand — wd_windows_toolssetup.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d0cf5560-de0e-11db-a4f2-0030849dfd2c}]
ShellAutoRuncommand — K:AUTORUN.EXE

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{de3cbfca-9361-11dc-a5c3-0030849dfd2c}]
shellSetupcommand — H:setup.exe
.
— — — — ORPHANS REMOVED — — — —

MSConfigStartUp-Adobe Version Cue CS2 — c:program filesAdobeAdobe Version Cue CS2ControlPanelVersionCueCS2Tray.exe
MSConfigStartUp-advap32 — c:docume~1UserXLOCALS~1Temploader.exe
MSConfigStartUp-LaunchList — c:program filesPinnacleStudio 10LaunchList.exe
MSConfigStartUp-lphc5f7j0egfe — c:windowssystem32lphc5f7j0egfe.exe
MSConfigStartUp-SigmatelSysTrayApp — sttray.exe

.

---

Supplementary Scan

---

.
uStart Page = http://www.nevosoft.ru
uDefault_Search_URL =
mStart Page = about:blank
mSearch Bar =
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &З&агрузить &с помощью BitComet — c:program filesBitCometBitComet.exe/AddLink.htm
IE: &З&агрузить все видео файлы с помощью BitComet — c:program filesBitCometBitComet.exe/AddVideo.htm
IE: &З&агрузить все с помощью BitComet — c:program filesBitCometBitComet.exe/AddAllLink.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Convert link target to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — c:program filesX-Translator DIAMONDPROMTIE4promtie5.htm
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — c:program filesX-Translator DIAMONDPROMTIE4options.htm

c:windowsDownloaded Program Filescortona_installer.dll — O16 -: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E}
hxxp://www.outline3d.com/main/installer.cab?key=0b69
c:windowsDownloaded Program Filesinstaller.inf

c:windowsDownloaded Program FilesWMAcceptor.dll — O16 -: {463ED66E-431B-11D2-ADB0-0080C83DA4EB}
hxxps://w3s.webmoney.ru/WMAcceptor.dll

c:windowsDownloaded Program Filespecontrol.dll — O16 -: {810B649C-CEAE-4AC9-BF26-81341B49E913}
hxxp://www.outline3d.com/main/pecontrol_new2.cab?key=0512
c:windowsDownloaded Program Filespecontrol.inf
FF — ProfilePath — c:documents and settingsUserXApplication DataMozillaFirefoxProfiles5oesd0ip.default
FF — prefs.js: browser.search.selectedEngine — Price.ru
FF — prefs.js: browser.startup.homepage — hxxp://www.kleo.ru/cgi-bin/items/admin/auth.cgi
FF — prefs.js: network.proxy.type — 2
FF — component: c:documents and settingsUserXApplication DataMozillaFirefoxProfiles5oesd0ip.defaultextensionsyaphoto@yandex.rucomponentswebfotki.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava11.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava12.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava13.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava14.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava32.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJPI142_05.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-09 17:21:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINESystemControlSet001ServicesRasAutoTrkWks]
«ImagePath»=»р%Ђ|x0109 srv»

[HKEY_LOCAL_MACHINESystemControlSet001ServicesRDSessMgrwscsvc]
«ImagePath»=»р%Ђ|x0109 srv»

[HKEY_LOCAL_MACHINESystemControlSet001ServicesWebClientNetman]
«ImagePath»=»р%Ђ|x0109 srv»
.

---

Other Running Processes

---

.
c:program filesAlwil SoftwareAvast4aswUpdSv.exe
c:program filesAlwil SoftwareAvast4ashServ.exe
c:program filesCommon FilesArcSoftConnection ServiceBinACService.exe
c:program filesIntelIDUawServ.exe
c:windowssystem32rundll32.exe
c:program filesBonjourmDNSResponder.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:windowssystem32nvsvc32.exe
c:program filesCyberLinkShared FilesRichVideo.exe
c:windowssystem32PAStiSvc.exe
c:program filesAlwil SoftwareAvast4ashMaiSv.exe
c:program filesAlwil SoftwareAvast4ashWebSv.exe
c:windowssystem32wscntfy.exe
.
**************************************************************************
.
Completion time: 2009-01-09 17:25:32 — machine was rebooted
ComboFix-quarantined-files.txt 2009-01-09 14:25:29

Pre-Run: 6 860 759 040 байт свободно
Post-Run: 7,217,664,000 байт свободно

305 — E O F — 2008-09-10 10:20:22

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

Combofix удалил кучу паразитов, но в логе ещё присутствуют три подозрительных сервиса. Удалим их.
Откройте блокнот (Кликните Пуск, Выполнить, в строке ввода введите notepad и нажмите Enter) и вставьте в него следующий текст:

Driver::

RasAutoTrkWks

RDSessMgrwscsvc

WebClientNetman

Запишите получившийся файл на ваш рабочий стол под именем CFScript
Далее перетащите получившийся файл на иконку Combofix, как показано на картинке ниже.

Сombofix запуститься и выполнит процедуры описанные в созданном нами файле.
По результатам работы Combofix будет создан новый лог, его и вставьте в свой следующий ответ.

[Tex]

Спасибо за помощь!

ComboFix 09-01-09.03 — UserX 2009-01-10 10:51:50.2 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.1.1049.18.2030.1362 [GMT 3:00]
Running from: c:documents and settingsUserXРабочий столComboFix.exe
Command switches used :: c:documents and settingsUserXРабочий столCFScript.txt
AV: avast! antivirus 4.8.1296 [VPS 090109-0] *On-access scanning disabled* (Outdated)
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_RASAUTOTRKWKS

---

Legacy_RDSESSMGRWSCSVC

---

Legacy_WEBCLIENTNETMAN

---

Service_RasAutoTrkWks

---

Service_RDSessMgrwscsvc

---

Service_WebClientNetman

((((((((((((((((((((((((( Files Created from 2008-12-10 to 2009-01-10 )))))))))))))))))))))))))))))))
.

2009-01-06 12:07 . 2009-01-06 12:07

d

---

c:documents and settingsAll UsersApplication DataNevoSoft Games
2008-12-19 15:33 . 2008-12-19 15:33 d

---

c:program filesEpangsoft
2008-12-17 18:09 . 2008-12-17 18:09 d

---

c:documents and settingsUserXApplication DataAnabel
2008-12-17 15:05 . 2008-12-17 15:05 d

---

C:My Music
2008-12-17 15:04 . 2008-12-17 15:04 d

---

c:program filesReal
2008-12-17 15:04 . 2008-12-17 15:04 d

---

c:program filesCommon Filesxing shared
2008-12-17 15:04 . 2008-12-17 15:04 d

---

c:program filesCommon FilesReal

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-09 17:25

---

d

---

w c:program filesDC++
2009-01-06 09:30

---

d

---

w c:program filesИгры от NevoSoft
2008-12-25 19:31

---

d

---

w c:documents and settingsUserXApplication DataskypePM
2008-12-25 19:31

---

d

---

w c:documents and settingsUserXApplication DataSkype
2008-12-23 18:42 304,160 —-a-w C:StiImg.dat
2008-12-18 05:51

---

d—a-w c:documents and settingsAll UsersApplication DataTEMP
2008-12-08 13:12

---

d

---

w c:program filesFontExpert
2008-12-08 13:12

---

d

---

w c:documents and settingsUserXApplication DataProxima Software
2008-11-12 18:05

---

d

---

w c:documents and settingsAll UsersApplication DataAstar Games
2008-01-24 16:41 32 —-a-w c:documents and settingsAll UsersApplication Dataezsid.dat
2007-12-25 06:51 561,152 —-a-w c:documents and settingsUserXTlc.exe
2007-07-22 11:33 23 -c—a-w c:program fileshfkud16.sys
2003-07-28 20:15 307,200 —-a-w c:program filesinternet explorerpluginsdjvu0407.dll
2003-07-28 20:15 303,104 —-a-w c:program filesinternet explorerpluginsdjvu0409.dll
2003-07-28 20:15 311,296 —-a-w c:program filesinternet explorerpluginsdjvu040c.dll
2003-07-28 20:15 299,008 —-a-w c:program filesinternet explorerpluginsdjvu0411.dll
2003-07-28 20:15 299,008 —-a-w c:program filesinternet explorerpluginsdjvu0412.dll
2003-07-28 20:15 290,816 —-a-w c:program filesinternet explorerpluginsdjvu0804.dll
2003-07-28 20:15 122,880 —-a-w c:program filesinternet explorerpluginsDjVuCntl.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32ctfmon.exe» [2003-08-18 15360]
«NCLaunch»=»c:windowsNCLAUNCH.EXe» [2007-12-25 40960]
«Punto Switcher»=»c:program filesPunto Switcherpunto.exe» [2008-10-07 734504]
«BitComet»=»c:program filesBitCometBitComet.exe» [2008-03-25 2196280]
«Infium»=»e:qip infiuminfium.exe» [2008-12-09 5062144]
«QIP2005″=»c:program filesQIPqip.exe» [2006-10-18 3112960]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«IAAnotif»=»c:program filesIntelIntel Matrix Storage ManagerIaanotif.exe» [2006-05-11 151552]
«IgfxTray»=»c:windowssystem32igfxtray.exe» [2006-06-23 98304]
«HotKeysCmds»=»c:windowssystem32hkcmd.exe» [2006-06-23 86016]
«Persistence»=»c:windowssystem32igfxpers.exe» [2006-06-23 81920]
«IntelAudioStudio»=»c:program filesIntel Audio StudioIntelAudioStudio.exe» [2006-08-02 9134080]
«ipTray.exe»=»c:program filesIntelIDUiptray.exe» [2006-11-24 2209792]
«RemoteControl»=»c:program filesCyberLinkPowerDVDPDVDServ.exe» [2007-01-08 68640]
«mouseElf»=»c:progra~1TWINTO~1MouseElf.EXE» [2004-08-26 192512]
«Gainward»=»c:program filesVDOToolTBPanel.exe» [2007-10-02 2165272]
«NvCplDaemon»=»c:windowssystem32NvCpl.dll» [2007-10-05 8491008]
«NvMediaCenter»=»c:windowssystem32NvMcTray.dll» [2007-10-05 81920]
«avast!»=»c:progra~1ALWILS~1Avast4ashDisp.exe» [2008-11-26 81000]
«TkBellExe»=»c:program filesCommon FilesRealUpdate_OBrealsched.exe» [2008-12-17 185896]
«nwiz»=»nwiz.exe» [2007-10-05 c:windowssystem32nwiz.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»c:windowssystem32CTFMON.EXE» [2003-08-18 15360]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«vidc.dvsd»= pdvcodec.dll
«VIDC.MJPG»= Pvmjpg30.dll
«msacm.l3fhg»= mp3fhg.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«vidc.i420″= i420vfw.dll
«msacm.ac3filter»= ac3filter.acm
«msacm.divxa32″= divxa32.acm

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Acrobat Speed Launcher.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Acrobat Speed Launcher.lnk
backup=c:windowspssAdobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Gamma.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Gamma.lnk
backup=c:windowspssAdobe Gamma.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Быстрый запуск AutoCAD.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаБыстрый запуск AutoCAD.lnk
backup=c:windowspssБыстрый запуск AutoCAD.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Ускоренный запуск Adobe Reader.lnk]
path=c:documents and settingsAll UsersГлавное менюПрограммыАвтозагрузкаУскоренный запуск Adobe Reader.lnk
backup=c:windowspssУскоренный запуск Adobe Reader.lnkCommon Startup

[HKLM~startupfolderC:^Documents and Settings^UserX^Главное меню^Программы^Автозагрузка^Total Commander.lnk]
path=c:documents and settingsUserXГлавное менюПрограммыАвтозагрузкаTotal Commander.lnk
backup=c:windowspssTotal Commander.lnkStartup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregAcrobat Assistant 7.0]
—a—c— 2004-12-14 02:12 483328 c:program filesAdobeAcrobat 7.0Distillracrotray.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregArcSoft Connection Service]
—a

---

2007-10-08 10:03 31232 c:program filesCommon FilesArcSoftConnection ServiceBinACDaemon.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
—a

---

2006-11-16 19:04 139264 c:program filesCommon FilesAheadLibNMBgMonitor.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregBitComet]
—a

---

2008-03-25 09:38 2196280 c:program filesBitCometBitComet.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregLanguageShortcut]
—a—c— 2007-01-08 22:17 52256 c:program filesCyberLinkPowerDVDLanguageLanguage.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
—a—c— 2006-01-12 15:40 155648 c:program filesCommon FilesAheadLibNeroCheck.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregPicasa Media Detector]
—a

---

2008-02-26 04:23 443968 c:program filesPicasa2PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSunJavaUpdateSched]
—a—c— 2004-06-03 22:05 32881 c:program filesJavaj2re1.4.2_05binjusched.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregYupdate!]
—a

---

2007-12-06 18:00 455432 c:program filesCommon FilesYandexYupdateyupdate.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\system32\sessmgr.exe»=
«c:\Program Files\QIP\qip.exe»=
«c:\Program Files\Nero\Nero 7\Nero ShowTime\ShowTime.exe»=
«c:\Program Files\DC++\DCPlusPlus.exe»=
«c:\Program Files\eMule\emule.exe»=
«c:\Program Files\BitComet\BitComet.exe»=
«c:\Program Files\Opera\Opera.exe»=
«c:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe»=
«c:\Program Files\Total Commander\Totalcmd.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\RM.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\Studio.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\PMSRegisterFile.exe»=
«c:\Program Files\Pinnacle\Studio 11\programs\umi.exe»=
«c:\Program Files\VideoLAN\VLC\vlc.exe»=
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«c:\Program Files\Bonjour\mDNSResponder.exe»=
«c:\Program Files\Windows Live\Messenger\msnmsgr.exe»=
«c:\Program Files\Windows Live\Messenger\livecall.exe»=
«c:\Program Files\Skype\Phone\Skype.exe»=

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileGloballyOpenPortsList]
«27595:TCP»= 27595:TCP:BitComet 27595 TCP
«27595:UDP»= 27595:UDP:BitComet 27595 UDP

R0 pe3alcnb;KDS-PvO Environment Driver (pe3alcnb);c:windowssystem32driverspe3alcnb.sys [2007-08-20 64624]
R0 ps7alcnb;KDS-PvO Synchronization Driver (ps7alcnb);c:windowssystem32driversps7alcnb.sys [2007-08-20 68216]
R1 aswSP;avast! Self Protection;c:windowssystem32driversaswSP.sys [2008-09-21 111184]
R1 NVKEYNT;NVKEYNT;c:windowssystem32driversNVKEYNT.SYS [2007-08-26 71680]
R1 uzezmza0;AVZ-RK Kernel Driver;c:windowssystem32driversuzezmza0.sys [2007-11-22 11264]
R1 uzy3oty4;AVZ-RK Kernel Driver;c:windowssystem32driversuzy3oty4.sys [2008-01-17 11264]
R3 genmcmnUSB;USB Scroll Mouse Driver;c:windowssystem32driversgflmouhid.sys [2007-02-15 6656]
R4 aswFsBlk;aswFsBlk;c:windowssystem32driversaswFsBlk.sys [2008-09-21 20560]
R4 osaio;osaio;c:windowssystem32driversosaio.sys [2007-02-15 6784]
S3 NVKEYUSB;Guardant Stealth I/II USB Key;c:windowssystem32driversNVKEYUSB.SYS [2007-08-26 38400]
S3 PAC207;VideoCAM GF112;c:windowssystem32driverspfc027.sys [2005-04-08 162176]
S4 pr2alcnb;KDS-PvO Drivers Auto Removal (pr2alcnb);c:windowssystem32pr2alcnb.exe svc —> c:windowssystem32pr2alcnb.exe svc [?]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{bd24b653-85ef-11dc-a5b4-0030849dfd2c}]
ShellAutoRuncommand — wd_windows_toolssetup.exe

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{d0cf5560-de0e-11db-a4f2-0030849dfd2c}]
ShellAutoRuncommand — K:AUTORUN.EXE

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{de3cbfca-9361-11dc-a5c3-0030849dfd2c}]
shellSetupcommand — H:setup.exe
.
.

---

Supplementary Scan

---

.
uStart Page = http://www.nevosoft.ru
uDefault_Search_URL =
mStart Page = about:blank
mSearch Bar =
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: &З&агрузить &с помощью BitComet — c:program filesBitCometBitComet.exe/AddLink.htm
IE: &З&агрузить все видео файлы с помощью BitComet — c:program filesBitCometBitComet.exe/AddVideo.htm
IE: &З&агрузить все с помощью BitComet — c:program filesBitCometBitComet.exe/AddAllLink.htm
IE: &Экспорт в Microsoft Excel — c:progra~1MICROS~2OFFICE11EXCEL.EXE/3000
IE: Convert link target to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF — c:program filesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} — c:program filesX-Translator DIAMONDPROMTIE4promtie5.htm
IE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} — c:program filesX-Translator DIAMONDPROMTIE4options.htm

c:windowsDownloaded Program Filescortona_installer.dll — O16 -: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E}
hxxp://www.outline3d.com/main/installer.cab?key=0b69
c:windowsDownloaded Program Filesinstaller.inf

c:windowsDownloaded Program FilesWMAcceptor.dll — O16 -: {463ED66E-431B-11D2-ADB0-0080C83DA4EB}
hxxps://w3s.webmoney.ru/WMAcceptor.dll

c:windowsDownloaded Program Filespecontrol.dll — O16 -: {810B649C-CEAE-4AC9-BF26-81341B49E913}
hxxp://www.outline3d.com/main/pecontrol_new2.cab?key=0512
c:windowsDownloaded Program Filespecontrol.inf
FF — ProfilePath — c:documents and settingsUserXApplication DataMozillaFirefoxProfiles5oesd0ip.default
FF — prefs.js: browser.search.selectedEngine — Price.ru
FF — prefs.js: browser.startup.homepage — hxxp://www.kleo.ru/cgi-bin/items/admin/auth.cgi
FF — prefs.js: network.proxy.type — 2
FF — component: c:documents and settingsUserXApplication DataMozillaFirefoxProfiles5oesd0ip.defaultextensionsyaphoto@yandex.rucomponentswebfotki.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava11.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava12.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava13.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava14.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJava32.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPJPI142_05.dll
FF — plugin: c:program filesJavaj2re1.4.2_05binNPOJI610.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-10 10:57:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

Other Running Processes

---

.
c:program filesAlwil SoftwareAvast4aswUpdSv.exe
c:program filesAlwil SoftwareAvast4ashServ.exe
c:windowssystem32rundll32.exe
c:program filesCommon FilesArcSoftConnection ServiceBinACService.exe
c:program filesIntelIDUawServ.exe
c:program filesBonjourmDNSResponder.exe
c:program filesIntelIntel Matrix Storage ManagerIAANTmon.exe
c:windowssystem32nvsvc32.exe
c:program filesCyberLinkShared FilesRichVideo.exe
c:windowssystem32PAStiSvc.exe
c:program filesAlwil SoftwareAvast4ashMaiSv.exe
c:program filesAlwil SoftwareAvast4ashWebSv.exe
.
**************************************************************************
.
Completion time: 2009-01-10 11:01:39 — machine was rebooted
ComboFix-quarantined-files.txt 2009-01-10 08:01:36
ComboFix2.txt 2009-01-09 14:25:32

Pre-Run: 7 199 711 232 байт свободно
Post-Run: 7,170,404,352 байт свободно

245 — E O F — 2008-09-10 10:20:22

[Admin]

Лог выглядит нормально, как работает компьютер?

[Tex]

пока все отлично! спасибо

[Admin]

Несколько завершающих действий.

Обновите Java, у вас устаревшая версия. Прочитайте эту инструкцию: Как обновить Java.

Удалите Combofix с вашего компьютера, действуйте согласно инструкции: Как правильно удалить combofix с компьютера.

Установите программу Spybot Search and Destroy, это довольно неплохая дополнительная защита.

Запустите ваш антивирус и проверьте состояние автоматической защиты. Включите, если она выключена.

Удалите старые точки восстановления, так как в них возможно нахождения инфицированных файлов, троянов и других вредоносных программ. Для этого кликните по иконке Мой компьютер, выберите пункт Свойства. В открывшемся окне выберите вкладку Восстановление системы. Поставьте галочку напротив пункта Отключить восстановление системы на всех дисках. Кликните по кнопке Применить. Подтвердите свои действия кликнув по кнопке OK в открывшемся диалоге. Закройте окно Свойства системы, кликнув по кнопке OK.

После загрузки компьютера выполните действия описанные выше, только в этот раз снимите галочку.

Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса. Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы. В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Не забывайте обновлять Windows, ваши программы и особенно ваш антивирус.

Всего доброго!

[Tex]

все сделала. Спасибо за Ваш труд!

[Автор]

Сообщения