Smitfraud-c.MSVPS

[M@X]

Антитроян Search & Destroy находит «Smitfraud-c.MSVPS» с 2мя записями в реестре
После нажатия кнопки «Устранить отмеченные проблемы» ,удачно их устроняет, но, они появляются вновь!Буквально минут через 10-15 проверяю еще рас, и они снова присутсвуют!
ШОДЭЛАДЬ?

Logfile of HijackThis v1.99.1
Scan saved at 13:31, on 26.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSRTHDCPL.EXE
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe
C:Program FilesFastKeyFastKey.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesWinampWinamp.exe
C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:Program FilesPC Connectivity SolutionTransportsNclUSBSrv.exe
C:Program FilesPC Connectivity SolutionTransportsNclRSSrv.exe
C:Program FilesQIPqip.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1M@XLOCALS~1TempRar$EX00.359HijackThis.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:PROGRA~1SPYBOT~1SDHelper.dll
O2 — BHO: Groove GFS Browser Helper — {72853161-30C5-4D22-B7F9-0BBC1D38A37E} — C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL
O2 — BHO: QXK Olive — {8B93A89B-7332-4B4B-830C-72EB6323D0DB} — C:WINDOWSvmgspntbvlw.dll
O2 — BHO: TBSB03223 — {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} — C:Program FilesWebMoney Advisorwmadvisor.dll
O3 — Toolbar: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O3 — Toolbar: fqbewlna — {32678B97-2C98-4D22-A8F6-55C35572E946} — (no file)
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [AlcWzrd] ALCWZRD.EXE
O4 — HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe»
O4 — HKLM..Run: [FastKey] C:Program FilesFastKeyFastKey.exe
O4 — HKLM..Run: [amd_dc_opt] C:Program FilesAMDDual-Core Optimizeramd_dc_opt.exe
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [PC Suite Tray] «C:Program FilesNokiaNokia PC Suite 7PCSuite.exe» -onlytray
O4 — Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O6 — HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Добавить в Анти-Баннер — C:Program FilesKaspersky LabKaspersky Internet Security 7.0ie_banner_deny.htm
O9 — Extra button: Cтатистика Веб-Антивируса — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Internet Security 7.0SCIEPlgn.dll
O9 — Extra button: Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra ‘Tools’ menuitem: &Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra button: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra ‘Tools’ menuitem: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search & Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O17 — HKLMSystemCCSServicesTcpip..{C694A5DC-CF76-40D2-90CE-4B9D89C7E65C}: NameServer = 195.5.46.12 195.5.46.10
O18 — Protocol: grooveLocalGWS — {88FED34C-F0CA-4636-A375-3CB6248B04CD} — C:PROGRA~1MICROS~2Office12GR99D3~1.DLL
O18 — Protocol: ms-help — {314111C7-A502-11D2-BBCA-00C04F8EC294} — C:Program FilesCommon FilesMicrosoft SharedHelphxds.dll
O18 — Filter hijack: text/xml — {807563E5-5146-11D5-A672-00B0D022E945} — C:PROGRA~1COMMON~1MICROS~1OFFICE12MSOXMLMF.DLL
O20 — AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1.0adialhk.dll
O20 — Winlogon Notify: dimsntfy — %SystemRoot%System32dimsntfy.dll (file missing)
O20 — Winlogon Notify: klogon — C:WINDOWSsystem32klogon.dll
O21 — SSODL: WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll
O21 — SSODL: mgxfebsq — {BCD4FB85-E64C-401C-A5B0-E06861A09E5A} — C:WINDOWSmgxfebsq.dll
O21 — SSODL: dtseqrxk — {A653C803-42F7-4F27-AE94-B30476D8814F} — (no file)
O23 — Service: Kaspersky Internet Security 7.0 (AVP) — Unknown owner — C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe» -r (file missing)
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: GlobaX — Unknown owner — c:Program FilesGlobaXsrvany.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver1150Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Nero BackItUp Scheduler 3 — Nero AG — C:Program FilesNeroNero8Nero BackItUpNBService.exe
O23 — Service: NMIndexingService — Nero AG — C:Program FilesCommon FilesNeroLibNMIndexingService.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsc) (pr2ajtsc) — 1C: Multimedia — C:WINDOWSsystem32pr2ajtsc.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

[Admin]

Здравствуйте, добро пожаловать на Spyware-ru форум.

То, что находит SpyBot — это только вершина айсберга.

Перед началом лечения отключите мониторинг (автозащиту) в KAV.
Запустите HijackThis, кликните по кнопке Do a system scan only.
Далее отметьте галочками (слева) следующие строки:

O2 - BHO: QXK Olive - {8B93A89B-7332-4B4B-830C-72EB6323D0DB} - C:WINDOWSvmgspntbvlw.dll

O3 - Toolbar: fqbewlna - {32678B97-2C98-4D22-A8F6-55C35572E946} - (no file)

O6 - HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present

O21 - SSODL: mgxfebsq - {BCD4FB85-E64C-401C-A5B0-E06861A09E5A} - C:WINDOWSmgxfebsq.dll

O21 - SSODL: dtseqrxk - {A653C803-42F7-4F27-AE94-B30476D8814F} - (no file)

Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES.

Перезагрузите компьютер.

Используя HijackThis выполните сканирование вашего компьютера и результирующий лог вставьте в ваш ответ.

[M@X]

Перед вставкой логов хотел уточнить неястности!
1.KAV — я так понимаю KasperskyAntiVirus ? У меня стоит KIS — KasperskyInternerSrcurity 🙂
2.»отключить автозащиту», я так понимаю что это подразумевалось Самозащиту?

Logfile of HijackThis v1.99.1
Scan saved at 15:27, on 27.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSRTHDCPL.EXE
C:WINDOWSSOUNDMAN.EXE
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe
C:Program FilesFastKeyFastKey.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesPC Connectivity SolutionServiceLayer.exe
C:Program FilesPC Connectivity SolutionTransportsNclUSBSrv.exe
C:Program FilesPC Connectivity SolutionTransportsNclRSSrv.exe
C:WINDOWSsystem32wuauclt.exe
C:Program FilesWinampWinamp.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1M@XLOCALS~1TempRar$EX00.703HijackThis.exe
C:Program FilesQIPqip.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Documents and SettingsM@XРабочий столBSStatus.exe

R0 — HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 — HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Ссылки
O2 — BHO: AcroIEHlprObj Class — {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} — C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 — BHO: Spybot-S&D IE Protection — {53707962-6F74-2D53-2644-206D7942484F} — C:PROGRA~1SPYBOT~1SDHelper.dll
O2 — BHO: Groove GFS Browser Helper — {72853161-30C5-4D22-B7F9-0BBC1D38A37E} — C:PROGRA~1MICROS~2Office12GRA8E1~1.DLL
O2 — BHO: TBSB03223 — {B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10} — C:Program FilesWebMoney Advisorwmadvisor.dll
O3 — Toolbar: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O4 — HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 — HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 — HKLM..Run: [AlcWzrd] ALCWZRD.EXE
O4 — HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 — HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 — HKLM..Run: [nwiz] nwiz.exe /install
O4 — HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 — HKLM..Run: [AVP] «C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe»
O4 — HKLM..Run: [FastKey] C:Program FilesFastKeyFastKey.exe
O4 — HKLM..Run: [amd_dc_opt] C:Program FilesAMDDual-Core Optimizeramd_dc_opt.exe
O4 — HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 — HKCU..Run: [PC Suite Tray] «C:Program FilesNokiaNokia PC Suite 7PCSuite.exe» -onlytray
O4 — Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Readerreader_sl.exe
O8 — Extra context menu item: &Экспорт в Microsoft Excel — res://C:PROGRA~1MICROS~2Office12EXCEL.EXE/3000
O8 — Extra context menu item: Добавить в Анти-Баннер — C:Program FilesKaspersky LabKaspersky Internet Security 7.0ie_banner_deny.htm
O9 — Extra button: Cтатистика Веб-Антивируса — {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} — C:Program FilesKaspersky LabKaspersky Internet Security 7.0SCIEPlgn.dll
O9 — Extra button: Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra ‘Tools’ menuitem: &Отправить в OneNote — {2670000A-7350-4f3c-8081-5663EE0C6C49} — C:PROGRA~1MICROS~2Office12ONBttnIE.dll
O9 — Extra button: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra ‘Tools’ menuitem: WebMoney Advisor — {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} — C:Program FilesWebMoney Advisorwmadvisor.dll
O9 — Extra button: Research — {92780B25-18CC-41C8-B9BE-3C9C571A8263} — C:PROGRA~1MICROS~2Office12REFIEBAR.DLL
O9 — Extra button: (no name) — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra ‘Tools’ menuitem: Spybot — Search & Destroy Configuration — {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} — C:PROGRA~1SPYBOT~1SDHelper.dll
O9 — Extra button: (no name) — {e2e2dd38-d088-4134-82b7-f2ba38496583} — %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 — Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 — {e2e2dd38-d088-4134-82b7-f2ba38496583} — %windir%Network Diagnosticxpnetdiag.exe (file missing)
O9 — Extra button: Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O9 — Extra ‘Tools’ menuitem: Windows Messenger — {FB5F1910-F110-11d2-BB9E-00C04F795683} — C:Program FilesMessengermsmsgs.exe
O17 — HKLMSystemCCSServicesTcpip..{C694A5DC-CF76-40D2-90CE-4B9D89C7E65C}: NameServer = 195.5.46.12 195.5.46.11
O18 — Protocol: grooveLocalGWS — {88FED34C-F0CA-4636-A375-3CB6248B04CD} — C:PROGRA~1MICROS~2Office12GR99D3~1.DLL
O18 — Protocol: ms-help — {314111C7-A502-11D2-BBCA-00C04F8EC294} — C:Program FilesCommon FilesMicrosoft SharedHelphxds.dll
O18 — Filter hijack: text/xml — {807563E5-5146-11D5-A672-00B0D022E945} — C:PROGRA~1COMMON~1MICROS~1OFFICE12MSOXMLMF.DLL
O20 — AppInit_DLLs: C:PROGRA~1KASPER~1KASPER~1.0adialhk.dll
O20 — Winlogon Notify: dimsntfy — %SystemRoot%System32dimsntfy.dll (file missing)
O20 — Winlogon Notify: klogon — C:WINDOWSsystem32klogon.dll
O21 — SSODL: WPDShServiceObj — {AAA288BA-9A4C-45B0-95D7-94D524869DB5} — C:WINDOWSsystem32WPDShServiceObj.dll
O21 — SSODL: mgxfebsq — {C4D68EE8-66C9-471F-939C-836D72B6E279} — C:WINDOWSmgxfebsq.dll
O23 — Service: Kaspersky Internet Security 7.0 (AVP) — Unknown owner — C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe» -r (file missing)
O23 — Service: Журнал событий (Eventlog) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: GlobaX — Unknown owner — c:Program FilesGlobaXsrvany.exe
O23 — Service: InstallDriver Table Manager (IDriverT) — Macrovision Corporation — C:Program FilesCommon FilesInstallShieldDriver1150Intel 32IDriverT.exe
O23 — Service: Служба COM записи компакт-дисков IMAPI (ImapiService) — Корпорация Майкрософт — C:WINDOWSsystem32imapi.exe
O23 — Service: NetMeeting Remote Desktop Sharing (mnmsrvc) — Корпорация Майкрософт — C:WINDOWSsystem32mnmsrvc.exe
O23 — Service: Nero BackItUp Scheduler 3 — Nero AG — C:Program FilesNeroNero8Nero BackItUpNBService.exe
O23 — Service: NMIndexingService — Nero AG — C:Program FilesCommon FilesNeroLibNMIndexingService.exe
O23 — Service: NVIDIA Display Driver Service (NVSvc) — NVIDIA Corporation — C:WINDOWSsystem32nvsvc32.exe
O23 — Service: Plug and Play (PlugPlay) — Корпорация Майкрософт — C:WINDOWSsystem32services.exe
O23 — Service: Stalker (Pro) Drivers Auto Removal (pr2ajtsc) (pr2ajtsc) — 1C: Multimedia — C:WINDOWSsystem32pr2ajtsc.exe
O23 — Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) — Корпорация Майкрософт — C:WINDOWSsystem32sessmgr.exe
O23 — Service: Смарт-карты (SCardSvr) — Корпорация Майкрософт — C:WINDOWSSystem32SCardSvr.exe
O23 — Service: ServiceLayer — Nokia. — C:Program FilesPC Connectivity SolutionServiceLayer.exe
O23 — Service: Журналы и оповещения производительности (SysmonLog) — Корпорация Майкрософт — C:WINDOWSsystem32smlogsvc.exe
O23 — Service: Теневое копирование тома (VSS) — Корпорация Майкрософт — C:WINDOWSSystem32vssvc.exe
O23 — Service: Адаптер производительности WMI (WmiApSrv) — Корпорация Майкрософт — C:WINDOWSsystem32wbemwmiapsrv.exe

[Admin]

Вы всё правильно поняли 😉
1. КasperskyAntiVirus это компонент KasperskyInternerSecurity
2. можно и так сказать

HijackThis удалил паразитов, но часть их восстановилась.
Поэтому необходимо использовать Combofix, он даёт более полную картину о состоянии компьютера.

Скачайте программу Combofix. Закройте все открытые окна и запустите эту программу.
После выполнения будет создан лог файл, пожалуйста вставьте его в ваш ответ.

[M@X]

Долго долго ругался касперский, а я жал «пропустить» всегда:)
Вот что КОмбофикс на фиксил

ComboFix 08-09-30.02 — M@X 2008-10-01 0:58:28.1 — NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1251.1.1049.18.1499 [GMT 3:00]
Running from: D:DistribNewNew newAnti Zlob DownloaderComboFix.exe
* Created a new restore point
* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:WINDOWSmqgldfvo.exe
C:WINDOWSsystem32slootniw01.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

---

Legacy_TDSSSERV

---

Service_TDSSserv

((((((((((((((((((((((((( Files Created from 2008-08-28 to 2008-09-30 )))))))))))))))))))))))))))))))
.

2008-09-29 21:31 . 2008-09-29 21:31

d

---

C:WINDOWSNV29923336.TMP
2008-09-29 21:21 . 2005-12-20 20:23 176,128 -ra

---

C:WINDOWSsystem32NVUNINST.EXE
2008-09-29 21:21 . 2005-12-20 20:23 176,128 -ra

---

C:WINDOWSsystem32nvudisp.exe
2008-09-29 21:21 . 2008-10-01 01:03 43,573 —a

---

C:WINDOWSsystem32nvapps.xml
2008-09-29 21:21 . 2005-12-10 03:06 16,356 —a

---

C:WINDOWSsystem32nvdisp.nvu
2008-09-29 16:47 . 2008-09-29 16:47 d

---

C:Documents and SettingsAll UsersApplication DatanView_Profiles
2008-09-29 16:42 . 2008-09-29 21:23 d

---

C:WINDOWSnview
2008-09-29 16:36 . 2008-09-29 16:39 d

---

C:WINDOWSNV24322544.TMP
2008-09-26 15:32 . 2008-09-26 15:52 d

---

C:Program FilesGoldWave
2008-09-22 21:04 . 2008-09-22 21:04 2,560 —a

---

C:WINDOWS_MSRSTRT.EXE
2008-09-22 18:12 . 2008-09-22 21:24 d

---

C:Program FilesGodlike Developers
2008-09-21 23:49 . 2008-09-22 18:14 d

---

C:Program FilesRapidshare Downloader
2008-09-21 22:47 . 2008-09-21 22:47 d

---

C:Program FilesCommon FilesAdobe
2008-09-21 22:11 . 2008-09-22 18:35 d

---

C:Documents and SettingsAll UsersApplication DataPrevxCSI
2008-09-21 17:57 . 2008-09-22 22:22 388 —a

---

C:WINDOWSwininit.ini
2008-09-18 19:32 . 2008-09-18 19:35 d

---

C:Program FilesSpybot — Search & Destroy
2008-09-18 19:32 . 2008-09-19 08:46 d

---

C:Documents and SettingsAll UsersApplication DataSpybot — Search & Destroy
2008-09-16 11:16 . 2008-09-16 11:16 d

---

C:WINDOWSLogs
2008-09-16 10:38 . 2008-09-16 10:38 639,224 —a

---

C:WINDOWSsystem32driverssptd.sys
2008-09-08 12:58 . 2008-09-08 12:58 d

---

C:WINDOWSsystem32LogFiles
2008-09-07 21:35 . 2008-09-07 21:36 d

---

C:Documents and SettingsM@XApplication DataFreeCap
2008-09-07 21:26 . 2008-09-07 21:34 1,510 —a

---

C:freecap.xml
2008-09-07 20:30 . 2008-09-08 12:58 d

---

C:WINDOWSsystem32driversumdf
2008-09-05 15:55 . 2008-09-05 15:55 d

---

C:Documents and SettingsM@XApplication DataCOWON
2008-09-02 19:34 . 2008-04-14 00:15 26,112 —a

---

C:WINDOWSsystem32driversusbser.sys
2008-09-02 19:34 . 2008-04-14 00:15 26,112 —a—c— C:WINDOWSsystem32dllcacheusbser.sys
2008-09-02 19:34 . 2006-10-08 21:51 23,856 —a

---

C:WINDOWSsystem32spupdsvc.exe
2008-09-02 19:34 . 2008-09-02 19:34 0 —ah

---

C:WINDOWSsystem32driversMsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-09-02 19:34 . 2008-09-02 19:34 0 —ah

---

C:WINDOWSsystem32driversMsft_Kernel_ccdcmb_01005.Wdf
2008-09-02 19:31 . 2008-09-02 19:31 d

---

C:Program FilesPC Connectivity Solution
2008-09-02 19:31 . 2008-09-02 19:31 d

---

C:Program FilesCommon FilesPCSuite
2008-09-02 19:31 . 2008-09-02 19:31 d

---

C:Program FilesCommon FilesNokia
2008-09-02 19:31 . 2007-09-17 15:53 21,632 —a

---

C:WINDOWSsystem32driverspccsmcfd.sys
2008-09-02 19:30 . 2008-05-07 07:39 1,419,232 —a

---

C:WINDOWSsystem32wdfcoinstaller01005.dll
2008-09-02 19:30 . 2008-05-07 07:38 659,968 —a

---

C:WINDOWSsystem32nmwcdcocls.dll
2008-09-02 19:30 . 2008-05-07 07:38 20,864 —a

---

C:WINDOWSsystem32driversccdcmbo.sys
2008-09-02 19:30 . 2008-05-07 07:38 17,536 —a

---

C:WINDOWSsystem32driversccdcmb.sys
2008-09-02 19:30 . 2008-05-07 07:38 8,064 —a

---

C:WINDOWSsystem32driversusbser_lowerfltj.sys
2008-09-02 19:30 . 2008-06-06 09:24 8,064 —a

---

C:WINDOWSsystem32driversusbser_lowerflt.sys
2008-09-02 18:18 . 2008-09-02 18:18 d

---

C:Documents and SettingsM@XApplication DataCanon
2008-08-30 12:30 . 2008-08-30 12:30 d

---

C:Program FilesWMV9_VCM
2008-08-08 23:35 . 2008-08-08 23:35 2,818 —a

---

C:WINDOWSSR2Trainer.ini
2008-08-07 21:59 . 2008-08-07 22:00 d

---

C:Program FilesGlobaX

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-30 22:03 314,656 —sha-w C:WINDOWSsystem32driversfidbox2.dat
2008-09-30 22:03 13,497,376 —sha-w C:WINDOWSsystem32driversfidbox.dat
2008-09-30 22:02 34,700 —sha-w C:WINDOWSsystem32driversfidbox2.idx
2008-09-30 22:02 191,216 —sha-w C:WINDOWSsystem32driversfidbox.idx
2008-09-30 08:24

---

d

---

w C:Documents and SettingsAll UsersApplication DataKaspersky Lab
2008-09-28 17:20

---

d—a-w C:Documents and SettingsAll UsersApplication DataTEMP
2008-09-28 14:52

---

d

---

w C:Documents and SettingsM@XApplication Datateamspeak2
2008-09-22 19:20 96,976 —-a-w C:WINDOWSsystem32driversklin.dat
2008-09-22 19:20 87,855 —-a-w C:WINDOWSsystem32driversklick.dat
2008-09-22 19:20 112,144 —-a-w C:WINDOWSsystem32driverskl1.sys
2008-09-22 15:14

---

d

---

w C:Program FilesFastKey
2008-09-08 09:57

---

d

---

w C:Documents and SettingsAll UsersApplication DataPC Suite
2008-09-02 16:31

---

d

---

w C:Program FilesNokia
2008-09-02 16:30

---

d

---

w C:Documents and SettingsAll UsersApplication DataInstallations
2008-08-17 06:07

---

d

---

w C:Documents and SettingsM@XApplication DataWebMoney
2008-07-30 19:16

---

d

---

w C:Program FilesAMD
2008-07-30 19:01

---

d—h—w C:Documents and SettingsAll UsersApplication DataCanonBJ
2008-07-30 19:00

---

d—h—w C:Program FilesCanonBJ
2008-07-30 14:43

---

d

---

w C:Documents and SettingsM@XApplication DataMedia Player Classic
2008-07-28 11:34

---

d

---

w C:Program FilesTryMedia
2008-07-28 11:23

---

d

---

w C:Documents and SettingsM@XApplication DataPC Suite
2008-07-28 10:41

---

d

---

w C:Documents and SettingsM@XApplication DataNokia
2008-07-28 10:39

---

d

---

w C:Program FilesDIFX
2008-07-26 13:12 315,392 —-a-w C:WINDOWSHideWin.exe
2008-06-27 08:23 16,875,008 —-a-w C:WINDOWSRTHDCPL.exe
2008-06-19 13:42 2,808,832 —-a-w C:WINDOWSalcwzrd.exe
2008-06-19 13:27 9,715,200 —-a-w C:WINDOWSRTLCPL.exe
2008-06-19 13:20 57,344 —-a-w C:WINDOWSAlcmtr.exe
2008-06-18 20:37 2,045,459 —-a-w C:WINDOWSsystem32x264vfw.dll
2008-06-18 15:01 77,824 —-a-w C:WINDOWSSoundMan.exe
2008-06-12 18:36 7,680 —-a-w C:WINDOWSsystem32ff_vfw.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE~Browser Helper Objects{B4806C1A-FE8A-4008-9DA3-8CEDB6E82C10}]
2008-03-20 15:28 2469888 —a

---

C:Program FilesWebMoney Advisorwmadvisor.dll

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «C:Program FilesWebMoney Advisorwmadvisor.dll» [2008-03-20 2469888]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerToolbar]
«{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}»= «C:Program FilesWebMoney Advisorwmadvisor.dll» [2008-03-20 2469888]

[HKEY_CLASSES_ROOTclsid{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223.3]
[HKEY_CLASSES_ROOTTBSB03223.TBSB03223]

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32ctfmon.exe» [2008-04-15 15360]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
«FastKey»=»C:Program FilesFastKeyFastKey.exe» [2006-11-30 707072]
«amd_dc_opt»=»C:Program FilesAMDDual-Core Optimizeramd_dc_opt.exe» [2007-07-23 77824]
«NvCplDaemon»=»C:WINDOWSsystem32NvCpl.dll» [2005-12-10 7311360]
«NvMediaCenter»=»C:WINDOWSsystem32NvMcTray.dll» [2005-12-10 86016]
«AVP»=»C:Program FilesKaspersky LabKaspersky Internet Security 7.0avp.exe» [2007-06-28 218376]
«RTHDCPL»=»RTHDCPL.EXE» [2008-06-27 C:WINDOWSRTHDCPL.exe]
«SoundMan»=»SOUNDMAN.EXE» [2008-06-18 C:WINDOWSSoundMan.exe]
«AlcWzrd»=»ALCWZRD.EXE» [2008-06-19 C:WINDOWSalcwzrd.exe]
«nwiz»=»nwiz.exe» [2005-12-10 C:WINDOWSsystem32nwiz.exe]

[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
«CTFMON.EXE»=»C:WINDOWSsystem32CTFMON.EXE» [2008-04-15 15360]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciessystem]
«NoSecCpl»= 0 (0x0)
«DisableChangePassword»= 0 (0x0)
«DisableLockWorkstation»= 0 (0x0)

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionpoliciesexplorer]
«NoStartMenuPinnedList»= 0 (0x0)
«NoStartMenuMFUprogramsList»= 0 (0x0)
«NoUserNameInStartMenu»= 0 (0x0)
«NoStartMenuSubFolders»= 0 (0x0)
«NoCommonGroups»= 0 (0x0)
«NoPrinterTabs»= 0 (0x0)
«NoDeletePrinter»= 0 (0x0)
«NoAddPrinter»= 0 (0x0)
«NoPrinters»= 0 (0x0)
«NoFavoritesMenu»= 0 (0x0)
«NoRecentDocsNetHood»= 0 (0x0)
«NoChangeAnimation»= 0 (0x0)
«NoChangeKeyboardNavigationIndicators»= 0 (0x0)

[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversiondrivers32]
«msacm.l3fhg»= mp3fhg.acm
«msacm.divxa32″= divxa32.acm
«VIDC.X264″= x264vfw.dll
«VIDC.HFYU»= huffyuv.dll
«vidc.i263″= i263_32.drv
«VIDC.YV12″= yv12vfw.dll

[HKLM~startupfolderC:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Adobe Reader Speed Launch.lnk]
path=C:Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузкаAdobe Reader Speed Launch.lnk
backup=C:WINDOWSpssAdobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregKernelFaultCheck]
C:WINDOWSsystem32dumprep 0 -k [X]

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregGrooveMonitor]
—a

---

2006-10-27 00:47 31016 C:Program FilesMicrosoft OfficeOffice12GrooveMonitor.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNBKeyScan]
—a

---

2007-12-03 14:21 2213160 C:Program FilesNeroNero8Nero BackItUpNBKeyScan.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNeroFilterCheck]
—a

---

2007-03-01 14:57 153136 C:Program FilesCommon FilesNeroLibNeroCheck.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregNokia.PCSync]
—a

---

2008-06-17 16:00 1249280 C:Program FilesNokiaNokia PC Suite 7PcSync2.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregPC Suite Tray]
—a

---

2008-08-11 08:31 1124352 C:Program FilesNokiaNokia PC Suite 7PCSuite.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftshared toolsmsconfigstartupregSpybotSD TeaTimer]
-rahs—- 2008-08-18 18:41 1832272 C:Program FilesSpybot — Search & DestroyTeaTimer.exe

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity center]
«AntiVirusDisableNotify»=dword:00000001
«UpdatesDisableNotify»=dword:00000001

[HKEY_LOCAL_MACHINEsoftwaremicrosoftsecurity centerMonitoringKasperskyAntiVirus]
«DisableMonitoring»=dword:00000001

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofile]
«EnableFirewall»= 0 (0x0)

[HKLM~servicessharedaccessparametersfirewallpolicystandardprofileAuthorizedApplicationsList]
«%windir%\Network Diagnostic\xpnetdiag.exe»=
«%windir%\system32\sessmgr.exe»=
«C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE»=
«C:\Program Files\Microsoft Office\Office12\GROOVE.EXE»=
«C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE»=

R0 pe3ajtsc;Stalker (Pro) Environment Driver (pe3ajtsc);C:WINDOWSsystem32driverspe3ajtsc.sys [2008-03-07 64640]
R0 ps7ajtsc;Stalker (Pro) Synchronization Driver (ps7ajtsc);C:WINDOWSsystem32driversps7ajtsc.sys [2008-03-07 68744]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:WINDOWSsystem32DRIVERSklim5.sys [2007-04-04 24344]
S2 GlobaX;GlobaX;c:Program FilesGlobaXsrvany.exe [1997-05-14 13312]
S2 pr2ajtsc;Stalker (Pro) Drivers Auto Removal (pr2ajtsc);C:WINDOWSsystem32pr2ajtsc.exe svc [ ]
S3 npkycryp;npkycryp;D:GamesLineAge2 C4systemnpkycryp.sys [ ]

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{4bbc9bc3-871c-11dd-941a-000fea515420}]
ShellAutoRuncommand — F:
ShellExploreCommand — «F:.Nokia Music ManagerN-1-5-21-1895552279-3129831955-389522551-6003INFO2Playlist.exe» Control: Select music location
ShellFindCommand — «F:.Nokia Music ManagerN-1-5-21-1895552279-3129831955-389522551-6003INFO2Playlist.exe» Control: Search music (radio-stations)
ShellOpenCommand — «F:.Nokia Music ManagerN-1-5-21-1895552279-3129831955-389522551-6003INFO2Playlist.exe» Playback: Play music

[HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionexplorermountpoints2{a22920f2-5f85-11dd-8ffb-000fea515420}]
ShellAutoRuncommand — F:
ShellExploreCommand — «.Nokia Music ManagerN-1-5-21-1895552279-3129831955-389522551-6003INFO2Playlist» Control: Select music location
ShellFindCommand — «.Nokia Music ManagerN-1-5-21-1895552279-3129831955-389522551-6003INFO2Playlist» Control: Search music (radio-stations)
ShellOpenCommand — «.Nokia Music ManagerN-1-5-21-1895552279-3129831955-389522551-6003INFO2Playlist» Playback: Play music
.
.

---

Supplementary Scan

---

.
FireFox -: Profile — C:Documents and SettingsM@XApplication DataMozillaFirefoxProfilesyr8fjd6s.default
FF -: plugin — C:Program FilesAdobeAcrobat 7.0Readerbrowsernppdf32.dll
FF -: plugin — C:Program FilesK-Lite Codec PackRealbrowserpluginsnppl3260.dll
FF -: plugin — C:Program FilesK-Lite Codec PackRealbrowserpluginsnprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista — rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-01 01:03:41
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully
hidden files: 0

**************************************************************************
.

---

Other Running Processes

---

.
C:Program FilesNeroNero8Nero BackItUpNBService.exe
C:WINDOWSsystem32nvsvc32.exe
.
**************************************************************************
.
Completion time: 2008-10-01 1:05:44 — machine was rebooted
ComboFix-quarantined-files.txt 2008-09-30 22:05:39

Pre-Run: 26 855 206 912 байт свободно
Post-Run: 26,829,295,616 Ў ©в бў®Ў®¤­®

226

[Admin]

Combofix отработал нормально, вылечил то, что не смог HijackThis, а так же нашёл и удалил TDSSserv троян.
Лог выгляди нормально.
Как компьютер работает сейчас ?

[M@X]

После фикса комбофиксом, Спафбот Серч Енд Дестрой, не обнаруживает не 1го трояна:) спс

[Admin]

Рад помочь 😉

Напоследок,
1. Удалите Combofix с вашего компьютера. Прочитайте следующее: Как правильно удалить combofix с компьютера.

2. Включите автозащиту вашего антивируса.

3. Создайте новую точку восстановления. Это поможет вам в случае необходимости загрузить текущую конфигурацию Windows и быстро излечиться от спайваре/вируса.

Для этого кликните по кнопке Пуск, далее выберите пункт Стандартные, в нём Служебные и запустите программу Восстановление системы.
В открывшемся окне выберите задачу Создать точку восстановления и нажмите кнопку Далее и следуйте указаниям.

Всего доброго!

[Автор]

Сообщения