История болезни такова:
Изначально был подцеплен порно-баннер, который занимал пол страницы браузера (Opera) и просил отправить SMs и тд. Далее перестали отображаться и загружаться любые страницы, хотя подключение к сети есть и оно активно. Ссылается на то, что невозможно найти удаленный сервер . При чем запрашиваемый сайт например yandex , внизу дублируется фразой : Вы попытались получить доступ к адресу: http: freepornokino.info/fcontent.ru/index…..Не дает скачивать обновления, не дает зайти ни в один ICQ пейджер. Пробовал ставить Megafon Internet ( в качестве другого провайдера) , но ситуация та же самая.
При загрузке Windows ( SP 3) , появляется на пару секунд окно DOS со следующей надписью: Start Hasp Emu. C:\ Documents and Settings\ Andrey\ net start haspnt
После этого появляется окно сетевых подключений со следующей надписью : Вы или программа попытались запросить информацию с mrim.mail.ru (или как вариант с smilekand). Выберите подключение.
Еще одна странность: При нажатии правой кнопкой мыши на ярлык Мой компьютер или любую папку запускается Windows Installer и пытается установить пакет установки FineReaderEdition.msi. Пишет, что нужный ресурс находится на сетевом ресурсе, который сейчас недоступен.

Борьба заключалась в следующем:
1) Установлен Kaspersky 2010 и Tune Up Utilities. Kaspersky нашел около 20 вирусов, среди которых был Win32.Kido.ih . Очищен реестр, проведены все возможные оптимизации системы.
2) Установлен CCleaner и Nod 32. Последний нашел еще пару вирусов и убил их.
3) Установлен Zone Alarm и Trojan Remover
4) Установлен KidoKiller v 3.1 и KK последней версии
5)Установлен Dr.Web
6) Установлен WinsockFix
7) Установлен Atf-Cleaner ( ссылается, что невозможо очистить временные файлы Opera).
8) Установлены все заплатки для Windows , рекомендуемые при Win32.Kido.ih
Потерял надежду исправить все своими силама. С нетерпением жду помощи профессионалов.
P.S. : Логи отправляю с другого компьютера, тк зараженный не имеет выхода.
Стоят два браузера IE и Opera. Логи записывались при открытом окне IE. Не знаю имеет ли это значение или нет.

Сделайте ещё этот лог.

• Скачайте Malwarebytes Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe), установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) - нажмите Remove Selected (удалить выделенные). Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM (http://www.malwarebytes.org/mbam/database/mbam-rules.exe).

Malwarebytes' Anti-Malware 1.42
Версия базы данных: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

12.12.2009 19:50:15
mbam-log-2009-12-12 (19-50-15).txt

Тип проверки: Полная (C:\|D:\|)
Проверено объектов: 246084
Прошло времени: 45 minute(s), 35 second(s)

Заражено процессов в памяти: 0
Заражено модулей в памяти: 0
Заражено ключей реестра: 9
Заражено значений реестра: 0
Заражено параметров реестра: 0
Заражено папок: 0
Заражено файлов: 15

Заражено процессов в памяти:
(Вредоносные программы не обнаружены)

Заражено модулей в памяти:
(Вредоносные программы не обнаружены)

Заражено ключей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{bc656258-2f9d-4448-94a8-ff8c551ba3fb} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{533bbe22-df4d-4f55-bfc1-30cb5d7e4607} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{557bbc12-0937-4263-8205-b424f51618ca} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1dfa2a6e-3cb3-4141-a96f-d42244a6b50e} (Trojan.PornDialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\browserhelp.anyxplayer.1 (Trojan.PornDialer) -> Quarantined and deleted successfully.

Заражено значений реестра:
(Вредоносные программы не обнаружены)

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
(Вредоносные программы не обнаружены)

Заражено файлов:
C:\WINDOWS\system32\dfshimrt.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> Quarantined and deleted successfully.
C:\Program Files\Total Commander\Soft\fitW\fitW.exe (Malware.Packer) -> Quarantined and deleted successfully.
D:\distr\Nero 6.0\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\distr\Кодеки и плееры\Winamp_5.3\Crack\Keymaker.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\com.run (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dp1.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krnln.fnr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\og.EDT (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Quarantined and deleted successfully.

Перезагрузился. Без изменений. Проблема осталась.

• Скачайте на заведомо "здоровом" компьютере утилиту от DrWeb - CureIT! (http://virusnet.info/forum/showthread.php?t=6) Запишите её на CD или DVD, можно записать и на флешку, если производителем предусмотрен режим защиты данных от изменений (только чтение). Иначе активный вирус повредит утилиту ещё до запуска. Сделайте полную проверку зараженного компьютера в режиме Safe Mode, затем в нормальном.
Как работать с утилитой CureIT! можно прочитать в теме - Как лечить файловый вирус (http://www.virusnet.info/forum/showthread.php?t=54)

1. Скачиваем VundoFix (http://www.atribune.org/public-beta/VundoFix.exe) на рабочий стол, после чего закрываем все открытые окна и запускаем программу.
2. Как работать с программой читаем в теме - Как удалить Vundo? (http://virusnet.info/forum/showthread.php?t=1101)

На тот редкий случай, когда VundoFix вдруг не может помочь:
1. Скачиваем на рабочий стол VirtumundoBegone (http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe) и перезагружаем компьютер в безопасный режим: Читать ниже по тексту - На тот редкий случай, когда VundoFix вдруг не может помочь. (http://virusnet.info/forum/showthread.php?t=1101)

Далее ...


Отключите интернет и локальную сеть если таковая имеется.
Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1).
• Скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
Восстановление системы. Создание новой контрольной точки восстановления и очистка предыдущих.
• Создание новой точки восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
• Очистка всех предыдущих точек восстановления: Нажмите Пуск > Программы > Стандартные > Служебные > Очистка диска, выберите системный диск, на вкладке Дополнительно > Восстановление системы нажмите Очистить, нажмите Да для очистки всех точек восстановления, кроме последней.

* Подробнее можно прочитать в этой (http://virusnet.info/forum/showthread.php?t=2065) теме.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SetAVZGuardStatus(True);
SetAVZPMStatus(True);
SetServiceStart('REMOVE', 4);
StopService('REMOVE');
QuarantineFile('C:\WINDOWS\system32\drivers\REMOVE.SYS','');
QuarantineFile('C:\WINDOWS\system32\dfshimrt.dll','');
QuarantineFile('C:\WINDOWS\Installer\7ec52.msi','');
DeleteFile('C:\WINDOWS\system32\dfshimrt.dll');
DeleteFile('C:\WINDOWS\system32\drivers\REMOVE.SYS');
DeleteFile('C:\WINDOWS\Installer\7ec52.msi');
DelBHO('{1DFA2A6E-3CB3-4141-A96F-D42244A6B50E}');
DeleteService('REMOVE');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
executerepair(2);
executerepair(6);
executerepair(8);
executerepair(4);
executerepair(13);
executerepair(16);
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин quarantine.zip Вышлите полученный файл quarantine.zip на newvirus@kaspersky.com (mailto:newvirus@kaspersky.com). Результаты ответа, сообщите здесь, в теме.

• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

O2 - BHO: AnyxPlayer Class - {1DFA2A6E-3CB3-4141-A96F-D42244A6B50E} - C:\WINDOWS\system32\dfshimrt.dll



И удалите лишние антивирусы - у вас на системе должен быть один антивирус. Несколько установленных антивирусов это не хорошо для системы. Будут друг другу мешать работать.

Скрипты выполнил, ничего не изменилось.
O2 - BHO: AnyxPlayer Class - {1DFA2A6E-3CB3-4141-A96F-D42244A6B50E} - C:\WINDOWS\system32\dfshimrt.dll - вот эта строчка при скане в HiJackThis отстутсвует. Фиксить нечего.

Сделайте новые логи.

и

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется) (http://www.gmer.net/download.php), Gmer в zip-архиве (перед применением распаковать в отдельную папку) (http://www.gmer.net/gmer.zip)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Лог от GMER :

GMER 1.0.15.15279 - http://www.gmer.net
Rootkit scan 2009-12-15 12:00:02
Windows 5.1.2600 Service Pack 3
Running: 44x9urbp.exe; Driver: C:\DOCUME~1\86A9~1\LOCALS~1\Temp\fwnoafow.sys


---- System - GMER 1.0.15 ----

INT 0x06 \??\C:\WINDOWS\system32\drivers\HaspNT.sys (Windows NT4(SP5+)/2000 HASP-Emu Driver/Sable PATCH Lab) F7AA383B
INT 0x0E \??\C:\WINDOWS\system32\drivers\HaspNT.sys (Windows NT4(SP5+)/2000 HASP-Emu Driver/Sable PATCH Lab) F7AA3780

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (Eset Personal Firewall TDI filter/ESET)

Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Check Point Software Technologies LTD)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0) 1?
Reg HKLM\SYSTEM\ControlSet003\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0X\0) 1?
Reg HKLM\SYSTEM\ControlSet004\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\20\0044\0040\4?\4B\0045\4@\4 \0<\48\4=\48\4?\4>\4@\4B\0040\4 \0M\0i\0c\0r\0o\0s\0o\0f\0t\0 \0T\0u\0n 1?

---- EOF - GMER 1.0.15 ----


С группы поддержки Kaspersky был получен следующий ответ: В присланном Вами файле не найдено ничего вредоносного.

Nightslim, Давайте попробуем эти средства:

• Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat - подтвердить, нажав "Y"), после окончания сканирования скопируйте текст из C:\Report.txt и вставьте в следующее сообщение или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html).

• Скачайте ComboFix (http://subs.geekstogo.com/ComboFix.exe) или здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение (http://www.bleepingcomputer.com/forums/topic114351.html). Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.\nКак использовать ComboFix (http://virusnet.info/forum/showthread.php?t=2773)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.

При загрузке Windows ( SP 3) , появляется на пару секунд окно DOS со следующей надписью: Start Hasp Emu. »
Судя по этому (http://club.shelek.ru/viewart.php?id=214) у вас установлен крек для 1С. Использование эмулятора ключа Hasp, нарушает права 1С,
Вы устанавливали этот эмулятор ?
И скорее всего эта проблема у вас появилась после установки этого крека.

2 Drongo: Лог от SDFix прикрепляю.

При запуске ComboFix пишет следующее: ComboFix is Offline

2 Iskander-k: 1C была установлена , но сейчас не стоит. Видимо ключ так до сих пор и висит, но раньше он не мешал выходу в интернет. Все началось после появления порно баннера.

Прикрепляю скрины, посмотрите. Первый при занрузке, второй при попытке загрузить страницу.

Еще одна странность. При попытке очистить временные файлы и историю Opera - ATF Cleaner'om, последний ссылается что ни один файл не был удален (No files were removed). После деинсталляция Opera и установки новой версии, вся история сохранена, как будто ничего не чистили и не удаляли.
С IE таких проблем нет.

Видимо ключ так до сих пор и висит, но раньше он не мешал выходу в интернет. Все началось после появления порно баннера. »
Удалите всё что касается этого крека - все его файлы. Возможно он заражен. Так как придраться больше не к чему.
Если не не получиться удалить штатными средствами скажите. Удалим через скрипт.

Еще один скрин при появлении Окна с просьбой о подключении + Диспетчер задач!

При появлении окна сетевых подключений, в диспетчере задач появляется вот этот процесс - rasautou.exe - что это?
2 Iskander-k: Удалить всю папку где он находится? Или только startnt.bat ?

ONLine- проверка
http://www.pcpitstop.com/default.asp

Онлайновые антивирусы

Я как раз смотрю что у вас в диспетчере.

rasautou.exe (Remote Access Dialer) - У нормального должен быть размер 11 776 байт.


попробуйте - http://vil.nai.com/vil/stinger/
Ad-Aware SE! - http://www.lavasoftusa.com/default.shtml.ru
Tauscan

Online проверка не получится, тк компьютер не заходит ни на один сайт(см. фото SDC10513 JPG).

У вас был установлен ZoneAlarm ?

Проверьте vsmon.exe. Если он от ZoneAlarm то должен быть в C:\WINDOWS\system32\ZONELABS\

Да, Zone Alarm был. Сейчас идет проверка вот этой прогой: http://vil.nai.com/vil/stinger/
Каким образом проверить vsmon.exe?