Предыстория:
1) использовался касперский 7.0.0.125 примерно полгода. Неделю назад он обнаружил екзешники С:\E8KJ.exe и amvo.exe, удалить он их не смог, постоянно предлагал разрешить/запретить и откатить сделанные изменения. В итоге, перестали нормально открываться жесткие диски, невозможно включить отображение скрытых файлов и папок, куча каких-то непонятных процессов в таск менеджере, зависание компа.
2) Удалил Касперского, почистил систему при помощи PC Tools Spyware Doctor, он много всякого нашел, чегой-то удалил, но проблема с открытием жестких дисков и отображением скрытых файлов осталась.
3) Установил Avira Premium Security Suite, она нашла 177 вирусов/вредоносных программ, я вникать не стал, удалил все. Комп заработал намного лучше, но жесткие диски все так же нормально не открываются, и скрытые папки не отображаются. Сейчас стоит она же.

"Диски нормально не открываются": или открывается окно с предложением выбрать программу, при помощи которой я хочу открыть диск (любой С, D, Е), или открывается в новом окне. Файлы autorun.ini я удалил.

На данный момент: После выполнения скрипта №3 AVZ и перезагрузки диски стали открываться нормально, но появилась новая проблема: при щелчке ПКМ по файлу или при нажатии кнопки Delete на пару секунд запускается окно "Windows Installer... Идет подготовка к установке", потом исчезает и дальше все нормально работает. Плюс, по-прежнему не получается включить отображение скрытых файлов и папок (см. скриншот hidden.jpg).

Заранее спасибо за помощь

1) Прогони утилитой ComboFix.exe
Прогони систему утилитой Cure It.
Воспользуйся интрументом CCleaner. Поищи ошибки в реестре. Бездумно не тыкай, глянь, что найдет. Не нужное удали.
После чистки перезагрузись.

2) Переустанови Windows Installer
http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5a58b56f-60b6-4412-95b9-54d056d6f9f4

В HijackThis установите галочки перед значениями и нажмите "fix checked"
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file)
O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
В AVZ меню Файл -- Выполнить скрипт. Скопируйте код и нажмите "Запустить".
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
SetServiceStart('AVPsys', 4);
DeleteService('AVPsys');
QuarantineFile('C:\WINDOWS\system32\vamsoft.exe','');
QuarantineFile('C:\WINDOWS\system32\haozs0.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
DeleteFile('C:\WINDOWS\system32\haozs0.dll');
DeleteFile('C:\WINDOWS\system32\vamsoft.exe');
DeleteFile('C:\WINDOWS\system32\drivers\cdaudio.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки выполните еще скрипт..
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
.. и получившийся карантин вышлите мне в приват.
Все логи нужно повторить.
В AVZ Меню Файл -- Мастер поиска и удаления проблем. Запустите и исправьте найденные проблемы.
Скачайте Flash Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) и запустите утилиту при вставленной флешке.
Утилита вылечит неисправности с открытием дисков и создаст с корнях дисков и флешке папку autorun.inf для предотвращения распрастранения инфекции.
Spyware Doctor следует удалить.
Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe) . Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Severny, большое спасибо! Выполнил все, как было написано в письме. Ниже отчет:

1) в HijackThis не нашел "O4 - HKCU\..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe", остальное пофиксил
2) в AVZ выполнил первый скрипт, он выполнился, но в конце написал: Invalid data type for ". Попросил AVZ проверить синтаксис - все норм
3) ссылка на карантин - в ПМ
4) новые логи прикреплены к этому сообщению
5) AVZ Меню Файл -- Мастер поиска и удаления проблем - исправил
6) Flash Disinfector - сделал, окно автозапуска больше не открывается
7) Malwarebytes' Anti-Malware - сделал скан, он нашел 4 файла, их я удалил (см. ниже отчет).

Malwarebytes' Anti-Malware 1.32
Версия базы данных: 1620
Windows 5.1.2600 Service Pack 3

06.01.2009 6:29:52
mbam-log-2009-01-06 (06-29-52).txt

Тип проверки: Полная (A:\|C:\|D:\|E:\|F:\|G:\|)
Проверено объектов: 245167
Прошло времени: 1 hour(s), 10 minute(s), 9 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 0
Заражено значений реестра: 0
Заражено параметров реестра: 2
Заражено папок: 0
Заражено файлов: 2

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
(Вредоносные программы не обнаружены)

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
D:\Photo\ФОТО\Photos\ACDSEE32.24\CRACK\CR-ACD24.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\adaway.lic (Rogue.AdwareAway) -> Quarantined and deleted successfully.

Итог:
1. Скрытые и системные файлы стали отображаться.
2. Осталась проблема с появлением на пару секунд окошка Windows Installer при выполнении различных действий (удалить файл, нажатие ПКМ, также временами при работе в браузере).
3. Еще одна проблема - не перезагружается/выключается Виндовс. Если выбрал "Перезагрузка/Выключение", он доходит до "Завершение работы Windows..." на голубом фоне и так остается, мышью при этом я могу двигать. Перезагрузка из безопасного режима идет нормально. Так что приходится жать на Reset. Проблема появилась незадолго до сканирования AVZ для первого сообщения, но не из-за него.

Попробуй выполнить скрипт
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\Transit XV\BIN\FFDAssign.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
QuarantineFile('Start1Driver.sys','');
QuarantineFile('Cdaudio.sys','');
SetServiceStart('Start1Driver', 4);
SetServiceStart('AVPsys', 4);
SetServiceStart('Cdaudio', 4);
SetServiceStart('Start2Driver', 4);
DeleteService('Start1Driver');
DeleteService('Cdaudio');
DeleteService('AVPsys');
DeleteService('Start2Driver');
DeleteFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys');
DeleteFile('C:\WINDOWS\system32\drivers\cdaudio.sys');
DeleteFile('Cdaudio.sys');
DeleteFile('Start1Driver.sys');
DeleteFile('C:\WINDOWS\system32\haozs0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Если будет выдавать ошибку, то выполни сначала (меню Файл -- Стандартные скрипты) скрипт №6.
А после перезагрузку и данный скрипт.

Если не поможет, то попробуй такой скрипт.
begin
QuarantineFile('C:\Program Files\Transit XV\BIN\FFDAssign.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
QuarantineFile('Start1Driver.sys','');
QuarantineFile('Cdaudio.sys','');
SetServiceStart('Start1Driver', 4);
SetServiceStart('AVPsys', 4);
SetServiceStart('Cdaudio', 4);
SetServiceStart('Start2Driver', 4);
DeleteService('Start1Driver');
DeleteService('Cdaudio');
DeleteService('AVPsys');
DeleteService('Start2Driver');
DeleteFile('C:\WINDOWS\system32\Drivers\Start2Driver.sys');
DeleteFile('C:\WINDOWS\system32\drivers\cdaudio.sys');
DeleteFile('Cdaudio.sys');
DeleteFile('Start1Driver.sys');
DeleteFile('C:\WINDOWS\system32\haozs0.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделай логи повторно.

Severny, большое спасибо!

При выполнении как первого, так и второго скриптов AVZ выдал в конце одно и то же сообщение: Invalid data type for ". Выполнение стандартного скрипта № 6 ничего не изменило. После выполнения скриптов до перезагрузки нельзя запустить ни одно приложение: "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту".
Нормально перезагрузиться по-прежнему не удается. На "Завершение работы Windows..." все заканчивается. После выполнения скриптов во время "Завершение работы Windows..." выскочило сообщение об ошибке:
svchost.exe - Ошибка приложения
Инструкция по адресу "0x6f8917c2" обратилась к памяти по адресу "0x6f8917c2". Память не может быть "read".
"ОК" - завершение приложения
"Отмена" - отладка приложения

После входа в Виндовс появилось сообщение об ошибке "Generic Host Process for Win32 Services" с предложением отправить отчет в майкрософт.

Эти сообщения появились только два раза, после каждого из скриптов.

Окошко Windows Installer при нажатии на ПКМ, или Delete, или какую-нибудь кнопку в браузере выскакивает нерегулярно. Бывает, что за весь сеанс работы в Виндовс ни разу не появляется.
Новые логи прикреплены.

Думаю, что неплохим вариантом будет:

0. Сохранить все нужные файлы с диска, на котором стоит система.
1. Скачать dr.web live cd (http://www.freedrweb.com/livecd).
2. Записать его на диск.
3. Найти нормальную сборку с ос windows xp или взять оригинальную версию.
4. Записать ее на диск.
5. Проверить, что оба диска являются загрузочными.
6. Отформатировать диск с сисетмой.
7. Сделать полную проверку системы при помощи dr.web live cd.
8. Установить Windows XP и радоваться жизни ;)

ИМХО: Так будет намного быстрее, проще и эффективнее.

kamapaka, У вас Outpost не дает AVZ отработать, деинсталлируйте Outpost, Spyware Doctor, отключите защитное ПО и повторите скрипт из поста 5, если снова появится сообщение: Invalid data type for ", уберите из скрипта 2-ю строчку
SearchRootkit(true, true);

Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) или здесь (http://www.spyware-ru.com/sdfix/)

Скачайте Malwarebytes' Anti-Malware здесь (http://malwarebytes.gt500.org/mbam-setup.exe), здесь (http://www.besttechie.net/mbam/mbam-setup.exe), здесь (http://www.malwaresupport.com/mbam/program/mbam-setup.exe) или здесь (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Запустите AVZ. В меню AVZM выберите «установить драйвер расширенного мониторинга процессов», перезагрузите компьютер и сделайте новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Martia, предложение, конечно, дельное, вот только:

1. жалко мне Windows переустанавливать, это самый крайний метод
2. времени на борьбу с вирусами уже много потратил, хочется, чтоб не зря
3. работает Windows в целом очень даже неплохо
4. переустанавливать Windows я умею, а вот с вирусами правильно бороться - нет, хочу научиться, чтоб в будущем не наступать на те же грабли (вот, в ходе борьбы замечательный форум oszone нашел, к примеру).

2Severny, нашел еще негативные последствия вирусной и своей антивирусной деятельности:

1. компьютер не переходит в спящий/ждущий режим, то есть вообще никак не реагирует на такую команду
2. не отображается список программ в "Панель управления" - "Установка и удаление программ".

2Pili, спасибо! Будет теперь, чем заняться на выходных

Pili, ниже отчет в хронологической последовательности:

1) Для удаления Outpost на сайте производителя предлагается утилита, которая запускается в безопасном режиме. Не смог загрузить безопасный режим - на экране быстро промелькали загружаемые файлы, потом черный экран и только мигающий курсор в верхнем левом углу. Ждал минут 5-7, ничего, перезагрузил, попробовал снова - та же история. Обычная загрузка работала превосходно.

2) Решил провести проверку ComboFix, отключил Outpost, но не удалил (не отображался список "Установка и удаление программ). ComboFix удалил файл C:\Windows\expiorer.exe (см. отчет ComboFix 1.zip), проблема с безопасным режимом осталась.

3) Психанул, достал уже установочный диск Windows Xp, но потом дал последний шанс: установил CCleaner, удалил кучу программ, в том числе и Outpost, оставил только самые нужные. Почистил реестр - CCleaner нашел 358 проблем, я согласился на исправление всех. После этого решились проблемы:
- заработала перезагрузка (до этого все останавливалось на "Завершение работы Windows..."),
- перестало появляться окошко Windows Installer,
- стали отображаться программы в "Установка и удаление программ".
У меня подозрение, что эти проблемы были из-за антивирусов, которые я ставил после удаления первоначального Касперского (НОД 32, Нортон, БитДефендер, Аваст) и которые из-за кривизны рук не удалил нормально/полностью из системы.

4) Попробовал загрузиться в безопасном режиме - опять мигающий курсор и ничего. К счастью, позвали пить чай, когда вернулся минут через 15, Windows все-таки загрузилась! Мне просто не хватало терпения (но до всех этих проблем у меня безопасный режим грузился минуты за две-три максимум), а тут больше 10.

5) Загрузился в безопасный режим, автоизвлечение SDFix закончилось сообщением об ошибке типа "невозможно найти файл ****installed.txt), извлек вручную, запустил проверку. Программа RestartIt зависла, я завершил ее через диспетчер задач, остался только черный фон без значков, перезагрузил Windows при помощи Ctrl+Alt+Delete - "Завершение работы"

6) После перезагрузки и входа в Windows SDFix запустился снова на голубом фоне, при выполнении "Running Catchme - Rootkit/Stealth Malware Detector" выскочило окно с сообщением об ошибке "Generic Host Process for Win32 Services" (см. скриншот). Нажал "не отправлять", после этого через какое-то SDFix перешел к "Remaining Files and Services" (вроде так) и так и остался с мигающим курсором. Подождал полчаса, перезагрузил комп.

7) Еще раз установил и попробовал удалить Outpost через безопасный режим, утилита clean.exe с сайта производителя отказалась работать и выдала ошибку, так что удалил вручную и снова почистил CCleaner'ом реестр.

8) Выполнил скрипт из сообщения №5 в AVZ: то же сообщение об ошибке Invalid data type for ".
9) Попробовал без строчки с Rootkit - тот же эффект. Выполнил стандартный скрипт №6, перегрузил комп - не помогло, все равно выдает сообщение об ошибке.

10) Выполнил в безопасном режиме SDFix, Программа RestartIt зависла, я завершил ее через диспетчер задач, остался только черный фон без значков, перезагрузил Windows при помощи Ctrl+Alt+Delete - "Завершение работы". После перезагрузки SDFix без проблем завершил проверку (см. отчет Report.zip).

11) Запустил установленный ранее Malwarebytes', выдало подряд два сообщения об ошибке:
"Runtime Error 0" и "Runtime Error 440 Automation Error" (что-то вроде этого).
12) Удалил (в начале деинсталляции выдало те же 2 сообщения, но удалилось нормально). Установил заново, выполнил проверку - ничего не нашлось (см. отчет malware.zip).

13) Повторно просканировал при помощи ComboFix (см. отчет ComboFix.zip). Для этого запустил файл combo-fix.exe.

14) Установил драйвера расширенного мониторинга для AVZ, перегрузил комп, логи во вложении.

Судя по логу combofix у вас очень много антивирусов и защитного ПО, DoctorWeb, Norton Internet Security, Spyware Doctor и пр., удалите лишнее и оставьте 1 антивирус
c:\windows\system32\drivers\TCPIP.SYS рекомендую заменить на оригинальный, winpcap если не требуется можете деинсталлировать.
Папка c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP знакома? В реестре
HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - это что? Если не знакомо, можете сохранить эту ветку реестра и затем удалить.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html), отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Start1Driver', 4);
SetServiceStart('Start2Driver', 4);
SetServiceStart('AVPsys', 4);
QuarantineFile('c:\windows\system32\ttri.dat','');
QuarantineFile('c:\windows\system32\ullfoek.dll','');
QuarantineFile('c:\windows\system32\vamsoft.exel','');
QuarantineFile('C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\A9.ocx','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\HIDINP~1.OCX','');
QuarantineFile('C:\WINDOWS\system32\drivers\tbhsd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Start2Driver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Start1Driver.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
QuarantineFile('c:\windows\system32\dllcache\cdaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\snmvtsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
DeleteFile('c:\windows\system32\vamsoft.exe');
DeleteFile('C:\WINDOWS\system32\drivers\Start2Driver.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Start1Driver.sys');
DeleteService('AVPsys');
DeleteService('Start2Driver');
DeleteService('Start1Driver');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('AVPsys');
BC_DeleteSvc('Start2Driver');
BC_DeleteSvc('Start1Driver');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на newvirus@kaspersky.com, в письме укажите пароль virus, когда придет ответ, сообщите
Если что-то из файлов в карантин не попадет, можете поискать файлы вручную через AVZ-сервис - поиск файлов и добавить в карантин или проверить файлы самостоятельно на virustotal.com
Если скрипт будет снова выдавать ошибку, попробуйте выполнить в безопасном режиме такой скрипт
begin
ClearQuarantine;
SetServiceStart('Start1Driver', 4);
SetServiceStart('Start2Driver', 4);
SetServiceStart('AVPsys', 4);
QuarantineFile('c:\windows\system32\ttri.dat','');
QuarantineFile('c:\windows\system32\ullfoek.dll','');
QuarantineFile('C:\Program Files\PixiePack Codec Pack\InstallerHelper.exe','');
QuarantineFile('C:\WINDOWS\Downloaded Program Files\A9.ocx','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\HIDINP~1.OCX','');
QuarantineFile('C:\WINDOWS\system32\drivers\tbhsd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\VirtualAudio.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Start2Driver.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Start1Driver.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmRVideo32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\DrmRDriverV32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\cdaudio.sys','');
QuarantineFile('c:\windows\system32\dllcache\cdaudio.sys','');
QuarantineFile('C:\WINDOWS\system32\snmvtsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\DrmCVideo32.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\DrmCDriverV32.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\Start2Driver.sys');
DeleteFile('C:\WINDOWS\system32\drivers\Start1Driver.sys');
DeleteService('AVPsys');
DeleteService('Start2Driver');
DeleteService('Start1Driver');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Скачайте OTViewIt (http://oldtimer.geekstogo.com/OTViewIt.exe) сохраните на рабочий стол и запустите, выберите File Age: 90 Days, поставьте галочку Scan All Users, нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTViewIt.txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTViewIt.txt и C:\Extras.txt и прикрепите к сообщению.

Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Pili, спасибо!

Отчет о проделанной работе:

1) на данный момент установлены Agnitum Outpost Firewall Pro Avira и Antivir Premium, все остальные программы (NOD, Norton Internet Security, BitDefender, Avast и т.д.) я ставил по одной и удалял перед установкой следующей, это все делалось до моего первого поста в этой теме - думал, что Windows я уже загубил, поэтому просто экспериментировал, что выбрать на будущее после переустановки Windows, но Avira смогла вылечить компьютер почти полностью.

2) для удаления остатков антивирусов зашел в эту тему http://forum.oszone.net/post-892208-1.html, но не смог зайти на сайты антивирусов, пишет сообщение типа
"Вы попытались получить доступ к адресу http://www.eset.com/, который сейчас недоступен. Убедитесь, что веб-адрес (URL) введен правильно, и попытайтесь перезагрузить страницу. Убедитесь, что соединение с Интернет активно, и проверьте, работают ли другие приложения, использующие это соединение."
Пробовал IE, Opera, Firefox - безрезультатно. Примерный список сайтов, на которые не заходит:

http://avirus.ru/
http://www.eset.com/
http://avast.com/
http://www.kaspersky.ru/
http://www.bitdefender.com/
http://www.virustotal.com/
http://www.symantec.com/

Без проблем заходит на сайт http://www.agnitum.ru/

Файл HOSTS содержит только строчку "127.0.0.1 localhost". Но название файла почему-то большими буквами HOSTS.

3) файл c:\windows\system32\drivers\TCPIP.SYS менялся для увеличение количества halfopen-соединений. Как его заменить на оригинальный?

4) Папку c:\windows\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP удалил, по-моему, это осталось от установки антишпиона Lavasoft.

5) HKEY_USERS\S-1-5-21-1292428093-1563985344-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C9E06080-4E1D-03EE-9930-2C352F5462B1} - было две такие строчки, одну удалил, вторая теперь при выделении щелчком пишет "Не удается открыть {C9E06080-4E1D-03EE-9930-2C352F5462B1}: Ошибка при открытии раздела". Переименовать или удалить не получается.

6) выполнил скрипт при отключенном антивирусе, firewall и отключив Интернет (как и все предыдщие разы), в конце выдало ту же ошибку Invalid data type for ".
7) выполнил другой скрипт в безопасном режиме - та же ошибка в конце. Вопрос: какой из архивов карантина теперь выслать kaspersky? Тот, который после первого (я скопировал его в другую папку), или после второго скрипта?
8) новый лог прилагается

9) логи OTViewIt вложены (см. Extras.zip и OTViewIt.xip)

10) Gmer после экспресс-проверки выдал сообщение, что моя система "infected by Rootkit", предложил "fully scan". Я согласился (см. отчет gmer log .zip), но галочка стояла только на С, поэтому потом я запустил его еще раз и проверил все диски. Во время проверки выскочило окно с ошибкой gmer.exe с предложением отправить отчет (см. скриншот). Закрыл программу, запустил еще раз, на этот раз все диски просканировались без проблем (см. отчет gmer full.zip).

все остальные программы (NOD, Norton Internet Security, BitDefender, Avast и т.д.) я ставил по одной и удалял перед установкой следующей »
Судя по тому что скрипты AVZ у вас не выполнялись, не работал SDfix, защитное ПО удалилось не полностью
c:\program files\Alwil Software
c:\documents and settings\Pasha\DoctorWeb
c:\documents and settings\All Users\Application Data\Avira
c:\documents and settings\All Users\Application Data\Symantec
c:\program files\Common Files\Symantec Shared
c:\program files\Norton Internet Security
c:\documents and settings\All Users\Application Data\Norton
c:\program files\NortonInstaller
c:\documents and settings\All Users\Application Data\NortonInstaller
c:\documents and settings\Pasha\Application Data\ESET
c:\documents and settings\All Users\Application Data\ESET
c:\program files\Lavasoft
c:\documents and settings\All Users\Application Data\Lavasoft
c:\documents and settings\All Users\Application Data\PC Tools
c:\program files\Spyware Doctor
c:\documents and settings\All Users\Application Data\PrevxCSI
c:\documents and settings\All Users\Application Data\Kaspersky Lab
c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
Это только по логу combofix, для удаления многих продуктов есть спец. утилиты, напр.
Утилита удаления продуктов Лаборатории Касперского (http://support.kaspersky.ru/faq/?qid=208635705)
Norton Removal Tool (http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?OpenDocument)
посмотрите также Инструкции и утилиты для полного удаления остатков антивирусных ... (http://virusinfo.info/showthread.php?t=16646)
Инструкции по расширенной деинсталляции и переустановке Outpost ... (http://forum.five.mhost.ru/kb2/index.php/%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D0%B8_%D0%BF%D0%BE_%D1%80%D0%B0%D1%81%D1%88%D 0%B8%D1%80%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9_%D0%B4%D0%B5%D0%B8%D0%BD%D1%81%D1%82%D0%B0%D0%BB%D0%BB%D1%8 F%D1%86%D0%B8%D0%B8_%D0%B8_%D0%BF%D0%B5%D1%80%D0%B5%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA% D0%B5_Outpost_Firewall)
Что ответил вирлаб? Где логи?
DNS сервера 193.24.25.1,193.24.25.250 - ваши?
Сайты не открываются в любом браузере (Opera, IE, FF)?
Outpost попробуйте временно удалить (в одной из недавних тем такая же проблема была связана с Outpost)
Ещё у вас старая версия java 1.6.0_07
Скачайте JavaRA (http://raproducts.org/) здесь (http://raproducts.org/click/click.php?id=1) или здесь (http://prm753.bchea.org/javara.zip)
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) (http://java.sun.com/javase/downloads/index.jsp) с сайта производителя.

Pili, по ссылкам
http://support.kaspersky.ru/faq/?qid=208635705
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005033108162039?OpenDocument
http://virusinfo.info/showthread.php?t=16646
я не могу перейти, выдает ошибку.

Да, во всех браузерах.

СТОП, сообразил: наверное, вы начали отвечать на мое первое сообщение. Я случайно отправил сначала неполное сообщение, потом отредактировал. Посмотрите, пожалуйста, мой пост № 12, теперь он полный

какой из архивов карантина теперь выслать kaspersky? Тот, который после первого (я скопировал его в другую папку), или после второго скрипта? »
Без разницы, скрипты почти одинаковые, карантин тоже д.б. одинаковый Если что-то из файлов в карантин не попадет, можете поискать файлы вручную через AVZ-сервис - поиск файлов и добавить в карантин или проверить файлы самостоятельно на virustotal.com »
т.е. посмотрите по скрипту файлы, в папке AVZ\Quarantine д.б. *.dta (сами файлы переименованные) и *.ini (текстовые), также карантин можно посмотреть через AVZ - просмотр карантина (файлы д.б. ненулевого размера)
Такое впечатление, что скрипт не выполнялся, вероятно Outpost снова мешает работе AVZ
вторая теперь при выделении щелчком пишет "Не удается открыть {C9E06080-4E1D-03EE-9930-2C352F5462B1}: Ошибка при открытии раздела" »
Можете попробовать открыть через IceSword (http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip) - вкладка Registry
Там же в IceSword выберите в меню File, появится аналог проводника, найдите в нем указанные файлы
C:\WINDOWS\System32\Drivers\atdrfzib.SYS
C:\WINDOWS\system32\drivers\cdaudio.sys
C:\WINDOWS\system32\ullfoek.dll
C:\WINDOWS\system32\drivers\Start2Driver.sys
C:\WINDOWS\system32\drivers\Start1Driver.sys
C:\WINDOWS\system32\drivers\VirtualAudio.sys
C:\WINDOWS\System32\ttri.dat
C:\WINDOWS\ultra.INI
C:\WINDOWS\Run32A50.mch
нажмите по файлам правой кнопкой мыши и скопируйте их в какую-нибудь папку (создайте напр. папку virus) при помощи Copy to.., папку запакуйте с паролем virus и отправьте в вирлаб, можете также проверить на virustotal.com
У вас ещё появился сервис bjicqfhs, ссылается на C:\WINDOWS\system32\svchost.exe, по логам AVZ его нет, можете также посмотреть в IceSword (отключить сервис во вкладке Win32 Services) и проверить svchost.exe, также можно найти файлы, которые могли не попасть в карантин по скрипту AVZ
Файлы также можно поискать и с помощью gmer, выберав вкладку Files.
Файлы, которые определяться как вредоносные можно удалить с помощью IceSword (правой кнопкой мыши на файле - force delete) или gmer

Pili, маленький инфо-апдейт:
выбрад в gmer опцию Disable bjicqfhs, после этого стали нормально открываться антивирусные сайты!

выбрад в gmer опцию Disable bjicqfhs »
это то же самое что
в IceSword (отключить сервис во вкладке Win32 Services) »
Ещё бы рез-ты проверки файлов увидеть (ullfoek.dll явно д.б. зловредом)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

Driver::
Start1Driver
Start2Driver
bjicqfhs


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

http://virusnet.info/images/CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению
Установите все обновления с http://windowsupdate.microsoft.com и в особенности этот патч (http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx), рекомендую отключить Netbios, включить встренный брандмауэр windows или закрыть сторонним файерволом входящие запросы на порты 445, 135-139
Сделайте новый лог gmer а также скачайте DDS (http://download.bleepingcomputer.com/sUBs/dds.scr) и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

Pili,

Ещё бы рез-ты проверки файлов увидеть (ullfoek.dll явно д.б. зловредом) »

Буквально пару часов назад сработала Avira:
"В файле 'C:\WINDOWS\system32\ullfoek.dll'
был обнаружен вирус или вредоносная программа 'WORM/Kido.CU' [worm].
Выполняемое действие: Поместить файл в карантин"
Хотя вчера делал полную проверку Avir'ой, ничего не нашла.

Теперь такой момент: поскольку я смогу наконец-то зайти на сайты антивирусов и полностью удалить их остатки из системы, то вопрос-уточнение: Надо ли мне сейчас также полностью удалить Outpost и Avira?
И если да, то с какого поста начать тогда заново выполнение всех операций: с сообщения № 11 (http://forum.oszone.net/post-1003159-11.html) или №8 (http://forum.oszone.net/post-1001580-8.html)?

Хотя вчера делал полную проверку Avir'ой, ничего не нашла. »
Или базы обновились или раньше руткит мешал находить файл.Надо ли мне сейчас также полностью удалить Outpost и Avira? »
Outpost можете на время лечения/сбора логов удалить, чтобы не мешал, потом заново поставите. Включите временно встроенный брандмауэр windows
CFScript.txt выполнили? Если да, д.б новый лог combofix, Установите обновления (пост 17), сделайте ещё новые логи gmer и DDS (http://download.bleepingcomputer.com/sUBs/dds.scr) или RSIT (http://images.malwareremoval.com/random/RSIT.exe), файлы из скрипта и из поста 15 проверьте на virustotal.com или virscan.org, можете сделать лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ)

Дело в том, что в результати деетельности вирусов(а их было очень много,как я понял) реально могли быть повреждены системные файлы, или при расположении вирусов в самих файлах-они вместе могли быть удалены в результате "спасательной апирации" каког небудь анти вируса......))
Если компу было очень плохо-не факт что даже качественное лечени ему поможет.......))