в общем стандартные проблемы- не ставятся антивирусы. утилиты(curelt, avptool отказываются корректно работать в операционной системе. в безопасном тоже самое)
из erd commander основную часть зловредов поудалял..., но в системе еще вижу есть остатки..
в общем выкладываю логи. посмотрите пожалуйста.
juzjf.exe никак не могу удалить....

Добрый вечер! Сейчас просмотрю логи.

• Отключите восстановление системы
Пуск > Пpогpаммы > Стандаpтные > Пpоводник Windows. (Start > Programs > Accessories > Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать "Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на "Запpетить восстановление системных файлов на всех дисках" (Turn off System Restore on all drives)
Hажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК".

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('\SystemRoot\System32\drivers\dfg3b85.sys','');
QuarantineFile('D:\WINDOWS\system32\Drivers\ywxwmbht.sys','');
QuarantineFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\quuzawysso.exe','');
QuarantineFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\sette.exe','');
QuarantineFile('D:\WINDOWS\system32\Drivers\rnrsggvm.sys','');
QuarantineFile('D:\Documents and Settings\Администратор\Application Data\juzjf.exe','');
QuarantineFile('D:\Documents and Settings\Администратор\Local Settings\Temp\7ZipSfx.000\fltlib.dll','');
DeleteFile('D:\Documents and Settings\Администратор\Local Settings\Temp\7ZipSfx.000\fltlib.dll');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\juzjf.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\rnrsggvm.sys');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\sette.exe');
DeleteFile('D:\Documents and Settings\Администратор\Application Data\Microsoft\quuzawysso.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\ywxwmbht.sys');
DeleteFile('\SystemRoot\System32\drivers\dfg3b85.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('igeek02hg3pmoiu');
BC_DeleteSvc('qa3eolyytvuexo');
BC_DeleteSvc('dfg3b85');
BC_DeleteSvc('rnrsggvm');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Повторите лог AVZ + подготовьте лог RSIT

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Обновите Internet Explorer до 8-ой версии (http://www.microsoft.com/rus/windows/internet-explorer/)
Обновлять IE необходимо даже в том случае, если Вы используете другой браузер, так как он очень глубоко интегрирован в ОС Windows.

Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3.
Установите Service Pack 3 (может потребоваться активация!) (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4).

Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол!

логи

• Выполните скрипт AVZ
Перед выполнением скрипта отключите защитное ПО (антивирус, файрволл)

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
TerminateProcessByName('D:\WINDOWS\system32\DETER177\svсhоst.exe');
TerminateProcessByName('C:\WinVisKa\winviska.exe');
SetServiceStart('ywxwmbht', 4);
StopService('ywxwmbht');
QuarantineFile('D:\WINDOWS\system32\drivers\vde2ote3.sys','');
QuarantineFile('D:\WINDOWS\system32\DETER177\svсhоst.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\cjcbuggv.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\bqmjbdls.sys','');
QuarantineFile('D:\WINDOWS\74B49FF8.exe','');
QuarantineFile('D:\WINDOWS\5E3961CB.exe','');
QuarantineFile('C:\WinVisKa\winviska.exe','');
QuarantineFile('D:\WINDOWS\system32\regedit.exe','');
DeleteFile('D:\WINDOWS\system32\regedit.exe');
DeleteFile('C:\WinVisKa\winviska.exe');
DeleteFile('D:\WINDOWS\5E3961CB.exe');
DeleteFile('D:\WINDOWS\74B49FF8.exe');
DeleteFile('D:\WINDOWS\system32\Drivers\ywxwmbht.sys');
DeleteFile('D:\WINDOWS\system32\drivers\dfg3b85.sys');
DeleteFile('D:\WINDOWS\system32\drivers\rnrsggvm.sys');
DeleteFile('D:\WINDOWS\system32\drivers\bqmjbdls.sys');
DeleteFile('D:\WINDOWS\system32\drivers\cjcbuggv.sys');
DeleteFile('D:\WINDOWS\system32\DETER177\svсhоst.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\network\rnrsggvm');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rnrsggvm');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Regedit32');
DeleteService('ywxwmbht');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('cjcbuggv');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@virusnet.info, в названии темы укажите – Ссылку на вашу тему.Результаты ответа сообщите здесь, в теме.

Удалите в MBAM всё, кроме
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.



Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)


Повторно просканируйте компьютер MBAM и прикрепите лог!

Карантин не отправили?Обязательно отправьте.

Карантин не отправили?Обязательно отправьте. »
карантин пуст... хотя во время выполнения скрипта никаких сбоев/сообщений не было
а можно без combofix?(имею печальный опыт после работы утилиты)

в этот раз карантин "образовался"- отправлю.

а можно без combofix?(имею печальный опыт после работы утилиты) »
Проблем быть не должно, главное внимательно прочитайте инструкцию.

Проблем быть не должно, главное внимательно прочитайте инструкцию. »
да знаю в принципе как работать с утилитой.... ну да ладно. рискну.
(консоль восстановления появилась в загрузке систем - удалил с boot)

Карантин от АВЗ опять пустой?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
d:\windows\system32\dllcache\drwB.tmp

Driver::
tdbzyozh
rlmzr

NetSvc::
rlmzr

Folder::


Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4109:TCP"=-


FileLook::

DirLook::


FCopy::
d:\windows\system32\dllcache\ndis.sys | d:\windows\system32\drivers\ndis.sys

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Удалите в MBAM
Зараженные файлы:
D:\WINDOWS\system32\Drivers\ntndis.sys (Rootkit.Agent) -> No action taken.
D:\WINDOWS\system32\ipsecndis.sys (Rootkit.Agent) -> No action taken.

Просканируйте и прикрепите лог MBAM

Проверьте на www.virustotal.com
d:\windows\system32\drivers\vde2ote3.sys
Дайте ссылку с результатом проверки

Карантин от АВЗ опять пустой? »
нет не пустой... не могу отправить... ссылка не "активируется".

vde2ote3.sys - на вирустотал 0/42

нет не пустой... не могу отправить... ссылка не "активируется". »
Отправьте так же как отправляете обычное письмо, только прикрепите к нему архив с карантином

карантин отправил.
в mbam те же файлы, что и в прошлом сообщении.
combofix прикрепляю.

в mbam те же файлы, что и в прошлом сообщении. »
Вы их удалили тогда?При повторном сканировании файлы опять нашлись?

Вы их удалили тогда?При повторном сканировании файлы опять нашлись? »
да.опять их удалил. сканирование заново не делал.
может удалить их с лайва?
удалось установить активный kis 2011(но мне нужен нод- т.к памяти только 512- на время добавил 1024)(ни аваст,нод,авира,авг,др веб,нортон не ставяться. давайте это тоже на заметку возьмем)

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
D:\WINDOWS\system32\Drivers\ntndis.sys
D:\WINDOWS\system32\ipsecndis.sys
d:\windows\system32\dllcache\drw35.tmp

Driver::

Folder::


Registry::

FileLook::

DirLook::


Reboot::



После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

хорошо... скоро будет... только после обновления kis он столько непонятного нашел... после перезагрузки сделаю скрипт.

Не стоило устанавливать антивирус во время лечения!

только после обновления kis он столько непонятного нашел »
еще бы

Внимание!Добавил еще один файл в скрипт Комбо.

Не стоило устанавливать антивирус во время лечения! »
почему? это же автозагрузка в "контроле". ни одна утилита насколько я понимаю такого сделать не сможет более лучше , чем активный антивирусный модуль..
а то , что антивирь удалит(полечит) файлы , которые прописаны в скриптах я думаю нормально.....
может я и не прав...(не профи явно....) буквально 10 минут и прикреплю скрипт.

Одно скажу, пока ничего Касперским удалять не надо! На время выполнения скрипта Комбо - Касперского выгрузите!