ComboFix - нужно удалять? »
Нет, пока не надо
c:\documents and settings\1\Application Data\U3\temp\cleanup.exe
c:\program files\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DP.exe
также проверьте на virustotal.com
DNS не мои »
Значит подменил троян, а 77.122.108.201 это вероятно ваш прокси?
Запустите HijackThis (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip), нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB5AF56-AA92-43F9-ADF8-811DBC907FD5}: NameServer = 82.144.192.130,82.144.192.191,82.144.192.32
O8 - Extra context menu item: IpIs Расположение - C:\WINXP\system32\ie1.dll.htm
O9 - Extra button: Расположение - {A3671F3B-75EF-465d-B13C-42A8B9E4238C} - C:\Program Files\Ipis\ip_is.exe (file missing)
O9 - Extra 'Tools' menuitem: Расположение - {A3671F3B-75EF-465d-B13C-42A8B9E4238C} - C:\Program Files\Ipis\ip_is.exe (file missing)
В настройках сетевых подключений (Пуск - Панель управления - Сетевые подключения, нажмите правой кн. мыши на используемом сетевом подключении, далее - Свойства - Протокол интернета (TCP/IP) - Свойства - установите "Получать ip-адрес автоматически".
Нажмите Пуск - Выполнить - cmd.exe и далее последовательно команды
ipconfig /release
ipconfig /flushdns
ipconfig /renew
Установите тип запуска службы DNS Client на авто и перезапустите службу
Настройте параметры tcp/ip на свои (установите настройки сети, выданные провайдером) или оставьте "получать ip адрес автоматически"
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

File::
D:\AllSubmitter\privet.exe
C:\WINXP\system32\vsx13.exe
C:\WINXP\wj.exe
C:\WINXP\system32\msntd0.exe
C:\WINXP\system32\mssql0.exe
c:\program files\Ipis\ip_is.exe
F:\LaunchU3.exe

Folder::
c:\program files\Ipis

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{18304c7c-e388-11db-a326-0013d46e49df}]

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/CFScript.gif
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Сделайте новый лог Hijackthis.

Нет, пока не надо
c:\documents and settings\1\Application Data\U3\temp\cleanup.exe
c:\program files\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DP.exe
также проверьте на virustotal.com »
c:\documents and settings\1\Application Data\U3\temp\cleanup.exe - http://www.virustotal.com/analisis/a443313199a8634a48a923ce4973e954

c:\program files\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DP.exe - http://www.virustotal.com/analisis/6f0f8113ba5323ab4d97a4fc02271a35

77.122.108.201 это вероятно ваш прокси? »

Давно пользовался, на данный момент не используется - в настройках задизейблено опция подключения через прокси

В настройках сетевых подключений (Пуск - Панель управления - Сетевые подключения, нажмите правой кн. мыши на используемом сетевом подключении, далее - Свойства - Протокол интернета (TCP/IP) - Свойства - установите "Получать ip-адрес автоматически". »

Ничего не менял - эти опции были выставлены

Новые логи прицепил.

basken, в логах ничего плохого не вижу. Как себя чувствет компьютер?
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus, вложите в архив также файл C:\SDFix\backups\backups.zipи пришлите мне на user15802[at]mail.ru
Посде этого деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt (http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe), запустите, нажмите Clean up

basken, в логах ничего плохого не вижу. Как себя чувствет компьютер? »
Pili, Большое спасибо за помощь!!!!! Машина чувствует себя на порядок лучше, более живая и динамичная!

Архив с файлами отправил на мейл.

basken, спасибо за карантин :)
Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Рекомендую установить WindowsXP SP3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) и все последующие обновления - http://windowsupdate.microsoft.com

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, отключить неиспользуемые службы, отключить автозапуск (http://forum.oszone.net/showpost.php?p=825101) со съемных носителей, не использовать Internet Explorer или отключить в нем ActiveX, пользоваться браузером Opera или Firefox (http://www.mozilla-europe.org/ru/firefox/) c плагином NoScript (https://addons.mozilla.org/firefox/addon/722) и AdBlock Plus (https://addons.mozilla.org/ru/firefox/addon/1865)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info) и следовать рекомендациям, описанным в этой книге.
Полезная информация (на англ. яз):
Malware_Prevention:_Prevent_Re-infection (http://wiki.castlecops.com/Malware_Prevention:_Prevent_Re-infection)
Malware Removal and Prevention Overview (http://wiki.castlecops.com/Malware_Removal_and_Prevention:_Overview)
Чистого вам интернета!

Тема закрыта. Для открытия темы топикстартер может обратиться в РМ, для всех остальных - создавайте новую тему с учетом правил (http://forum.oszone.net/thread-98169.html)