Каким образом проверить vsmon.exe? »
Проверить можно (если зайдёте на сайт)
http://www.virustotal.com/ru/

И поищите где он находится . Раз его у вас нет то почему он висит в процессах ? Под таким именем ещё троянцы прячутся.

Записал vsmon.exe на диск , проверил на вышеуказанном сайте. Вот ответ:

Файл уже проанализирован:
MD5: f8c283ca4f542283b36b6a09e7362e16
First received: 2009.10.20 01:57:17 UTC
Дата: 2009.10.24 20:45:04 UTC [>52D]
Результаты: 0/41
Permalink: analisis/6f896dd63e10e16540ad92932d4e044541c5f78f6b00bcba2107e30229aede4d-1256417104

А находится vsmon.exe как раз там где вы указали.

Сейчас идет проверка Stringer. Отчет выложу сразу после проверки Ad-Aware.

И еще вопрос: Почему "не чистится" Opera ???

Отчет выложу сразу после проверки Ad-Aware. »Лучше выкладывать ссылки на проверку. Просто скопируйте после проверки, адрес на страничку из адресной строки.

На данный момент ситуация такая:
1) Антивирус Stringer не обнаружил ни одной вредоносной программы.\
2) Антивирус Ad-Adware при Full Scan обнаружил 8(восемь) вредоносных программ. Лог выкладываю.
3) Сейчас идет проверка Outpost Antivirus Pro.

Дублирую вопрос: Почему не чистится Opera ???

Outpost Antivirus нашел еще три вредоносные программы. Одна из которых сидела в процессах.

Одна из которых сидела в процессах. »
Это от утилиты "sdfix" (c:\sdfix\apps\process.exe) - так что это ложное срабатывание.
Два других в архивах системы восстановления.


Вы остатки от Zone Alarm и от крека для 1С - удалили ?



•Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Заработал IE. Но ни один другой браузер работать не хочет + при нажатии правой кнопкой мыши стала появляться следующая строка: Abby FineReader 8.0 Prof.Edition. Внутренняя ошибка 2753. InstallTools.dll.
Вообще никак не удаляется , ни при помощи средств Windows , ни при помощи Your Uninstaller ( вообще не видит , что AbbyFineReader установлен)

Логи от RSIT

Не запускается ни один пейджер : ни ICQ, ни Mail Agent, ни Qip... Пробовал переустанавливать, результат тот же. Не заходит.

Нет идей?? Может решить проблему Format C: ?

Может решить проблему Format C: ? »
Не, не надо :)

Запустите AVZ, меню - файл - выполнить скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('c:\windows\system32\nwprovau.dll');
DelCLSID('02d26d59-bd87-11dd-95ae-00112f8aaa12');
DelCLSID('47aa3bec-34e5-11de-967a-00112fa63572');
DelCLSID('bc269594-5ad9-11dd-9493-00112f8aaa12');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.


Полечите систему по этой (http://support.kaspersky.ru/faq/?qid=208636215) инструкции.

Повторите лог RSIT

Скрипт выполнил.

Новый лог от RSIT:

Никаких изменений после выполнения скрипта :((

Попробуем такой вариант:

Скачайте OTM by OldTimer (http://oldtimer.geekstogo.com/OTM.exe) или с зеркала (http://virusnet.info/soft/OTM.exe) и сохраните на рабочий стол.
Запустите OTM (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Выделите и скопируйте текст ниже (Ctrl+C)

:Processes
:Services

:Files
C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02d26d59-bd87-11dd-95ae-00112f8aaa12}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47aa3bec-34e5-11de-967a-00112fa63572}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc269594-5ad9-11dd-9493-00112f8aaa12}]

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

В OTM под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!".

Компьютер перезагрузится.

После перезагрузки откройте папку "C:\_OTM\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Запустите HijackThis, поставте галочку напротив :
R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)
нажмите FixChecked

Скачайте (http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE) и установите SUPERANTISPYWARE, запустите пусть просканирует систему, отпишитесь о результате проверки.

З.Ы. KidoKiller запускали или нет?

Да, КК запускал несколько раз. В разных режимах. Ничего вредоносного не находит. Заплатки поставил.

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== FILES ==========
C:\Documents and Settings\Андрей\Application Data\Mail.Ru\Agent\Mra\dll\newmrasearch.dll moved successfully.
========== REGISTRY ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\"Authentication Packages"|hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,00 /E : value set successfully!
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02d26d59-bd87-11dd-95ae-00112f8aaa12}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{47aa3bec-34e5-11de-967a-00112fa63572}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47aa3bec-34e5-11de-967a-00112fa63572}\ not found.
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bc269594-5ad9-11dd-9493-00112f8aaa12}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Андрей
->Temp folder emptied: 112195314 bytes
->Temporary Internet Files folder emptied: 5039707 bytes
->Opera cache emptied: 5613465 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2133863 bytes
%systemroot%\System32 .tmp files removed: 5709 bytes
Windows Temp folder emptied: 2947624 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23931996 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 2372722981 bytes

Total Files Cleaned = 2*408,00 mb


OTM by OldTimer - Version 3.1.3.0 log created on 12222009_153325

В HijackThis такой строчки нету.

SUPERANTISPYWARE нашел три вредоносных программы:

1) Adware. Tracking Cookie
2) Trojan. Agent/ Gen-Data Keeper (C: Documents and Settings\Андрей\DOCTORWEB\QUARANTINE\AONDPFQR.dll
3) Trojan. Agent/ Gen-Nulo {Short} (D:System Volume Information\_Restore{BD7490AA-85B3-49D0-A699-9EDBCA021330}\RP80\A0025080.EXE

Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные).Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://malwarebytes.gt500.org/mbam-rules.exe).

•Скачайте RSIT (http://images.malwareremoval.com/random/RSIT.exe) или отсюда (http://virusnet.info/soft/RSIT.exe). Запустите, выберите проверку файлов за последние три месяца (3 Month) и нажмите продолжить (Continue). Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

•Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

sanek_freeman, данные процедуры выполнялись неоднократно. Результаты их можно посмотреть на предыдущих страницах. Все безрезультатно.
Или есть смысл сделать их еще раз???

данные процедуры выполнялись неоднократно. Результаты их можно посмотреть на предыдущих страницах. Все безрезультатно.
Или есть смысл сделать их еще раз??? »
Я знаю, что они делались неоднократно. Но ведь и после логов были предприняты действия. В общем, делайте в такой последовательности: Предварительные действия -> МВАМ -> ComboFix ->RSIT. И выкладывайте логи.