Вирус блокировал все браузеры. После выполнения скриптов полегчало. Выкладываю логи с зараженного компа, но думаю, что что-то еще осталось. В Outposte видно, что какойто "n\a" порцесс создает трафик и svchost лезет по адресу 77.44.0.2(3)

Перед выполнением скрипта временно отключите защитное ПО (Outpost). Включите брандмауэр Windows

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('RSVPMSDTC', 4);
SetServiceStart('Microsoft Memory Driver', 4);
SetServiceStart('AudioSrvRpcLocator', 4);
QuarantineFile('C:\WINDOWS\system32\cabine.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ekq85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0pvxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati0sxxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati1joxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati2puxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati5otxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati7joxx.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ati8joxx.sys','');
QuarantineFile('C:\WINDOWS\iedr.exe','');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\TDSSmaxt.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\TDSSmaxt.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\iedr.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\ati8joxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati7joxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati5otxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati2puxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati1joxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0sxxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ati0pvxx.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ekq85.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\cabine.dll');
DeleteService('ati8joxx');
DeleteService('ati7joxx');
DeleteService('ati5otxx');
DeleteService('ati2puxx');
DeleteService('ati1joxx');
DeleteService('ati0sxxx');
DeleteService('ati0pvxx');
DeleteService('Ekq85');
DeleteService('RSVPMSDTC');
DeleteService('Microsoft Memory Driver');
DeleteService('AudioSrvRpcLocator');
DelWinlogonNotifyByKeyName('WinCtrl32');
DeleteFileMask('%Tmp%', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\system32\drivers\TDSSmaxt.sys');
BC_DeleteSvc('Ekq85');
BC_DeleteSvc('ati0pvxx');
BC_DeleteSvc('ati8joxx');
BC_DeleteSvc('ati7joxx');
BC_DeleteSvc('ati5otxx');
BC_DeleteSvc('ati2puxx');
BC_DeleteSvc('ati1joxx');
BC_DeleteSvc('ati0sxxx');
BC_DeleteSvc('RSVPMSDTC');
BC_DeleteSvc('Microsoft Memory Driver');
BC_DeleteSvc('AudioSrvRpcLocator');
BC_Activate;
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RebootWindows(true);
end. Компьютер перезагрузится.

Выполнить скрипт в AVZ.
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ отправьте на thyrex2002@tut.by. В теле письма укажите ссылку на тему

2. Пофиксить в HiJack

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
Повторите все логи

levantin, после выполнения инструкций thyrex повторите логи.

thyrex, посмотри в ПМ.
С семейством Tdsserv надо бороться дополнительно другими утилитами.

levantin, Рекомендую временно деинсталлировать Outpost, т.к. он может помешать как работе AVZ, так и др. утилит, временно включите брандмауэр windows.
Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm) здесь (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) или здесь (http://www.downloads.andymanchesta.com/RemovalTools/SDFix.zip), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) и здесь (http://virusnet.info/forum/showthread.php?t=512)

Скачайте Malwarebytes Anti-Malware здесь (http://malwarebytes.gt500.org//mbam-setup.exe),здесь (http://www.besttechie.net//mbam//mbam-setup.exe), здесь (http://www.malwaresupport.com//mbam//program//mbam-setup.exe) или здесь (http://download.bleepingcomputer.com//malwarebytes//mbam-setup.exe). Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) и здесь (http://support.microsoft.com/kb/310994) - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) (http://support.microsoft.com/kb/310994#) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=535d248d-5e10-49b5-b80c-0a0205368124).
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (http://www.bleepingcomputer.com/combofix/how-to-use-combofix) (на англ.яз.) и здесь (http://www.spyware-ru.com/combofix/) (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку Scan. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение

O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) - строки не было

levantin, скрипт был несколько обновлен (судя по всему поздновато). Попробуйте его выполнить еще раз. И выполните рекомендации Pili в посте №4 (перед Вашим последним сообщением). А потом весь набор логов (AVZ, HiJack делать в последнюю очередь) выкладывайте

levantin, вы ещё и логи старые выложили из лога virusinfo_syscure.zip 1-го поста
Сканирование запущено в 08.04.2009 14:16:18
Из лога 5-го поста
Сканирование запущено в 08.04.2009 14:16:18
Повторите скрипт из 2-го поста, выполните рекомендации из 4-го поста и сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 09.04.2009 at 10:45

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\antivir\SDFix\SDFix
Лог SDFix. Остальное следует

Checking Services :

Name :
TDSSserv.sys

Path :
\systemroot\system32\drivers\TDSSmaxt.sys

TDSSserv.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

levantin, будьте внимательны. Вас просили
Повторите скрипт из 2-го поста, выполните рекомендации из 4-го поста и сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis » и выложить все логи, а не приводить выдержки из одного из них

Malw: Дата 01\04\09, Версия 1616, загруж отпечатков 65445 и больше не обновляется

Повторяю логи

levantin, МВАМ можно обновить отдельно - downloading the update MBAM (http://malwarebytes.gt500.org/mbam-rules.exe)
Ещё раз, делайте по порядку.
Повторите скрипт из 2-го поста, выполните рекомендации из 4-го поста и сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis »

Вроде бы все сделал

SDFix: Version 1.240
Run by Ђ¤¬Ё*Ёбва*в®а on 09.04.2009 at 10:45

Microsoft Windows XP [‚ҐабЁп 5.1.2600]
Running From: D:\antivir\SDFix\SDFix

Checking Services :

Name :
TDSSserv.sys

Path :
\systemroot\system32\drivers\TDSSmaxt.sys

TDSSserv.sys - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Лог SDFix не полностью выложили.
Повторите скрипт из 2-го поста »
Зря не повторили, сами себе не хотите помочь, теперь лечение будет дольше (и логов больше собирать), и outpost не удалили... Если скрипт не выполнится, придется удалить и заново логи делать.
d:\antivir\SDFix\SDFix\RunThis.bat - непонятно зачем в автозагрузку поставили, если SDFix до конца отработал, его там не должно быть.
Сохраните реестр:
Скачайте ERUNT (http://www.geekstogo.com/forum/index.php?autocom=downloads&showfile=113), установите и запустите, выберите папку для сохранения, в разделе Backup options должны быть отмечены галочками строчки "System registry" , "Current user registry" и "Other open user registries", нажмите "Ok" и подтвердите создание папки.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html)

File::
c:\windows\iedr.exe
c:\windows\system32\cabine.dll
Driver::
AudioSrvRpcLocator
Microsoft Memory Driver
RSVPMSDTC

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bbf20470-e397-11dd-a401-001fc6373e0a}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDFix"=-


После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

http://virusnet.info/images/CFScript.gif

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Скачайте OTListIt2 (http://oldtimer.geekstogo.com/OTListIt2.exe), сохраните на рабочий стол и запустите, выберите: Scan All Users, Minimal Output, File Age: 30 Days, поставьте галочку LOP Check, Purity Check и в Extra Registry - Use Safe list. Нажмите Run Scan, когда закончится процесс сканирования, откроются два файла OTListIt.Txt и Extras.txt , скопируйте (Ctrl+A, Ctrl+C) текст из этих файлов и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте полученные логи C:\OTListIt.Txt и C:\Extras.txt и прикрепите к сообщению.

OTListIt2 - уже 3 часа загружает процессор на 100%, и в строке состояния пишет scanning cdrom autorun settings... Может что-то не так?

levantin, OTListIt2 быстро отрабатывает, outpost удален?

Да, ОР удален, сканирование закончилось, выкладываю логи

levantin, В логах чисто.
Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и пришлите мне на user15802[at]mail.ru
Вложите в архив также файл C:\SDFix\backups\backups.zip
Затем деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Запустите OTListIt и нажмите CleanUp!
Проверьте пуск-выполнить-cmd - если русские буквы некорректно отображаются, примените твик реестра (сохраните как fix.reg и примените)
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Console\%systemroot%_system32_cmd.exe]
"CodePage"=dword:00000362

Проблемы ещё наблюдаются?

После чистки запустил антивирусник. NOD32 нашел:

C:\Documents and Settings\catchme.zip »ZIP »TDSSoeqh.dll - Win32/Agent.ODG троян
D:\autorun.inf - Win32/Tifaut.C червь
D:\hjqffk.exe »AUTOIT »script.au3 - Win32/Packed.Autoit.Gen приложение

levantin, ни в одном логе нет TDSSoeqh.dll (сервис удален ранее утилитой combofix), D:\autorun.inf и D:\hjqffk.exe
catchme.zip д.б. от combofix (м.б. ещё от gmer). Автозапуск отключали, брандмауэр windows включен?
Если остались проблемы, сделайте ещё раз логи по правилам.