сделал проверку системы, в архиве логи с проверками http://narod.ru/disk/8204606001/logs2.zip.html

nadmarik, извините за долгое отсутствие-командировка

Продолжим лечение

А вы RAdmin - удаленное управление компьютером (r_server.exe) сами устанавливали себе?

по поводу проблемы вашей, у вас Kido.
1) Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 7xzq5kl8.exe случайное имя утилиты (gmer)

7xzq5kl8.exe -del service ohrqk
7xzq5kl8.exe -del file "C:\WINDOWS\system32\zfyspqu.dll"
7xzq5kl8.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\ohrqk"
7xzq5kl8.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\ohrqk"
7xzq5kl8.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

2) а)Обязательно установите все 3 патча от MS:
MS08-067 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx)
MS08-068 (http://www.microsoft.com/rus/technet/security/bulletin/MS08-068.mspx)
MS09-001 (http://www.microsoft.com/rus/technet/security/bulletin/MS09-001.mspx)
3) [б]скачайте утилиту из вложения[/b] и пролечитесь
# Скачайте архив kk.zip и распакуйте его в отдельную папку на зараженном компьютере.
# Запустите файл kk.exe.
При запуске файла kk.exe без указания каких-либо ключей утилита останавливает активное заражение (удаляет потоки, снимает перехваты), выполняет сканирование основных мест, подверженных заражению, сканирует память, чистит реестр, проверяет flash-накопители.
# Дождитесь окончания сканирования.
По окончании сканирования на компьютере утилита будет ожидать нажатия любой клавиши для закрытия.
Внимание! Если на компьютере, на котором запускается утилита KidoKiller, установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
+ к вышесказанным рекомендациям
Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)
Отключите автозапуск программ с различных носителей, кроме CDROM. Для этого скопируйте этот код в блокнот, сохраните под любым именем с расширением .reg Кликните по файлу и подтвердите добавление в реестр.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000dd

4) у вас уязвимая система (при сетевом черве обновляем в обязательном порядке!):
*Platform: Windows XP SP2 (WinNT 5.01.2600) до Service Pack 3 (http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4) (может потребоваться активация)
*Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)даже если им не пользуетесь

К следующему сообщению должны быть прикреплены свежие логи:
1) AVZ
2) Gmer
3) Rsit
4) MBAM

RAdmin - я сам установил, иногда нужен, на нем пароль стоит.



cleanup.bat - выполнил
обновления устанавливал preSP3 для Server 2003 скачанный отсюда http://forum.oszone.net/thread-71346.html


Протокол антивирусной утилиты AVZ версии 4.35
Сканирование запущено в 28.03.2011 11:23:09
Загружена база: сигнатуры - 287889, нейропрофили - 2, микропрограммы лечения - 56, база от 16.03.2011 18:08
Загружены микропрограммы эвристики: 388
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 267478
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.2.3790, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=0A8340)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 80800000
SDT = 808A8340
KiST = 80834BFC (296)
Функция NtAdjustPrivilegesToken (0C) перехвачена (80968E16->ACC6DCC4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtClose (1B) перехвачена (80936B50->ACC6E496), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtConnectPort (21) перехвачена (809226C4->ACC6E8BE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateFile (27) перехвачена (808F0EB0->ACC7268A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateNamedPipeFile (2E) перехвачена (808F0EEA->ACC6DB8A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateSymbolicLinkObject (36) перехвачена (8093FAC0->ACC6F96C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtCreateThread (37) перехвачена (8094D258->ACC6E23A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDebugActiveProcess (3B) перехвачена (809A357C->ACC6F39E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDeviceIoControlFile (45) перехвачена (808F1070->ACC6E690), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtDuplicateObject (47) перехвачена (809386A0->ACC6FDAE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtFsControlFile (58) перехвачена (808F10A4->ACC6E542), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtLoadDriver (65) перехвачена (808FC312->ACC6F430), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenFile (7A) перехвачена (808F1FBA->ACC724CE), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenProcess (80) перехвачена (80946E6E->ACC6DEF4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenSection (83) перехвачена (8092893C->ACC6F996), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtOpenThread (86) перехвачена (809470FC->ACC6DDF6), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtQueueApcThread (BC) перехвачена (8094D4AE->ACC6F6C4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtReplaceKey (C9) перехвачена (808DC912->ACC6D05A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRequestWaitReplyPort (D0) перехвачена (8092098C->ACC6F224), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtRestoreKey (D4) перехвачена (808DC198->ACC6D1BC), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtResumeThread (D6) перехвачена (80951412->ACC6FC82), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSaveKey (D7) перехвачена (808DC294->ACC6CE5C), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSecureConnectPort (DA) перехвачена (80921D70->ACC6E780), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetContextThread (DD) перехвачена (8094D97E->ACC6E33A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSecurityObject (F6) перехвачена (8093B0AE->ACC6F52A), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSetSystemInformation (F9) перехвачена (8098F850->ACC6F9C0), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendProcess (106) перехвачена (809514D8->ACC6FAA4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSuspendThread (107) перехвачена (8095134E->ACC6FB60), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtSystemDebugControl (108) перехвачена (80996F96->ACC6F2CA), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateProcess (10A) перехвачена (8094EC4A->ACC6E08E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtTerminateThread (10B) перехвачена (8094EE56->ACC6DFE4), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция NtWriteVirtualMemory (11F) перехвачена (8093164A->ACC6E16E), перехватчик C:\WINDOWS\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
>>> Код перехватчика нейтрализован
Функция FsRtlCheckLockForReadAccess (808176EE) - модификация машинного кода. Метод JmpTo. jmp ACC80F1E \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Функция IoIsOperationSynchronous (8081C91C) - модификация машинного кода. Метод JmpTo. jmp ACC812F8 \SystemRoot\system32\DRIVERS\klif.sys, драйвер опознан как безопасный
>>> Функция воcстановлена успешно !
Проверено функций: 296, перехвачено: 32, восстановлено: 34
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Анализ для процессора 2
CmpCallCallBacks = 00000000
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=408, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 408)
Маскировка процесса с PID=1848, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1848)
Маскировка процесса с PID=1864, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1864)
Маскировка процесса с PID=204, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 204)
Маскировка процесса с PID=268, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 268)
Маскировка процесса с PID=428, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 428)
Маскировка процесса с PID=196, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 196)
Маскировка процесса с PID=1088, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1088)
Маскировка процесса с PID=1364, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1364)
Маскировка процесса с PID=1140, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1140)
Маскировка процесса с PID=628, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 628)
Маскировка процесса с PID=1696, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1696)
Маскировка процесса с PID=1708, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1708)
Маскировка процесса с PID=2076, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2076)
Маскировка процесса с PID=2152, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2152)
Маскировка процесса с PID=2160, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2160)
Маскировка процесса с PID=2168, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2168)
Маскировка процесса с PID=2176, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2176)
Маскировка процесса с PID=2184, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2184)
Маскировка процесса с PID=2212, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2212)
Маскировка процесса с PID=2224, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2224)
Маскировка процесса с PID=2236, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2236)
Маскировка процесса с PID=2244, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2244)
Маскировка процесса с PID=2492, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2492)
Маскировка процесса с PID=2840, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2840)
Маскировка процесса с PID=2856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2856)
Маскировка процесса с PID=2868, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2868)
Маскировка процесса с PID=2896, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2896)
Маскировка процесса с PID=2948, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2948)
Маскировка процесса с PID=3000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3000)
Маскировка процесса с PID=3008, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3008)
Маскировка процесса с PID=3328, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3328)
Маскировка процесса с PID=2676, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2676)
Маскировка процесса с PID=3232, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3232)
Маскировка процесса с PID=2380, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2380)
Маскировка процесса с PID=1100, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1100)
Маскировка процесса с PID=3940, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3940)
Маскировка процесса с PID=3304, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3304)
Маскировка процесса с PID=632, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 632)
Маскировка процесса с PID=2260, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2260)
Маскировка процесса с PID=2440, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2440)
Маскировка процесса с PID=2512, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2512)
Маскировка процесса с PID=2720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2720)
Маскировка процесса с PID=2892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2892)
Маскировка процесса с PID=3128, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3128)
Маскировка процесса с PID=2968, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2968)
Маскировка процесса с PID=892, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 892)
Маскировка процесса с PID=1736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1736)
Маскировка процесса с PID=3936, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3936)
Маскировка процесса с PID=600, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 600)
Маскировка процесса с PID=3972, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3972)
Маскировка процесса с PID=624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 624)
Маскировка процесса с PID=2152, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2152)
Маскировка процесса с PID=1660, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1660)
Маскировка процесса с PID=3704, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3704)
Маскировка процесса с PID=1732, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1732)
Маскировка процесса с PID=360, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 360)
Маскировка процесса с PID=2312, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2312)
Маскировка процесса с PID=640, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 640)
Маскировка процесса с PID=2160, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2160)
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 51
Анализатор - изучается процесс 476 C:\WINDOWS\system32\winlogon.exe
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
[ES]:Записан в автозапуск !!
Анализатор - изучается процесс 752 C:\Program Files\USB Safely Remove\USBSRService.exe
[ES]:Приложение не имеет видимых окон
Анализатор - изучается процесс 1496 C:\Program Files\rnamfler\naofsvc.exe
[ES]:Приложение не имеет видимых окон
[ES]:EXE упаковщик ?
Анализатор - изучается процесс 1564 C:\WINDOWS\System32\r_server.exe
[ES]:Может работать с сетью
[ES]:Прослушивает порты TCP !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке
Анализатор - изучается процесс 2432 C:\PROGRA~1\TrafInsp\ASP.NET\bin\TIASPN~1.EXE
[ES]:Может работать с сетью
[ES]:Приложение не имеет видимых окон
Количество загруженных модулей: 476
Проверка памяти завершена
3. Сканирование дисков
C:\Documents and Settings\Администратор\Application Data\Thinstall\R-Studio 5.0\%drive_D%\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Documents and Settings\Администратор\Application Data\Thinstall\R-Studio 5.0\%drive_D%\WINDOWS\system32\winlogon.bak)
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\nsyF.tmp
Прямое чтение C:\Documents and Settings\Администратор\Local Settings\Temp\~DF6024.tmp
C:\Program Files\CommFort_server5\CommFort_server.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Program Files\CommFort_server5\CommFort_server.exe.BAK)
C:\Program Files\Remote Office Manager - Viewer\ROMViewer.exe.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Program Files\Remote Office Manager - Viewer\ROMViewer.exe.BAK)
C:\Program Files\TrafInsp\ticore.dll.BAK - PE файл с нестандартным расширением(степень опасности 5%)
Файл успешно помещен в карантин (C:\Program Files\TrafInsp\ticore.dll.BAK)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\system32\r_server.exe ЭПС: подозрение на Файл с подозрительным именем (CH) (высокая степень вероятности)
Файл успешно помещен в карантин (C:\WINDOWS\system32\r_server.exe)
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: разрешен автоматический вход в систему
Проверка завершена
9. Мастер поиска и устранения проблем
>> Таймаут завершения служб находится за пределами допустимых значений
>> Скрыта кнопка завершения работы
Проверка завершена
Просканировано файлов: 154748, извлечено из архивов: 132642, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 28.03.2011 11:44:53
!!! Внимание !!! Восстановлено 34 функций KiST в ходе работы антируткита
Это может нарушить нормальную работу ряда программ, поэтому настоятельно рекомендуется перезагрузить компьютер
Сканирование длилось 00:21:45
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в систему http://kaspersky-911.ru
Создание архива с файлами из карантина
Создание архива с файлами из карантина завершено
Выполняется исследование системы
Исследование системы завершено

nadmarik, нельзя ли увидеть полный комплект запрашиваемых мною логов?
К следующему сообщению должны быть прикреплены свежие логи:
1) AVZ - virusinfo_syscure.zip, virusinfo_syscheck.zip
2) Gmer
3) Rsit
4) MBAM »
судя по текстовой части лога avz у вас еще есть, что лечить

текстовую часть, пожалуйста, возьмите в тег [more] ["more] (вместо " поставьте /)

лог gmer

Для деинсталяции Gmer используйте следующие рекомендации:
Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

жду от вас

1) AVZ - virusinfo_syscure.zip, virusinfo_syscheck.zip
2) Rsit
3) MBAM »

еще раз настоятельно прошу Вас взять текстовую часть лога авз из вашего предыдущего сообщения (сообщение 23) в теги [more] ["more] (вместо " поставьте /) »

логи в архиве http://narod.ru/disk/8637675001/logs3.zip.html

Удалите в MBAM

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\StimulProfit (Adware.Agent) -> No action taken.

по проверке вашего карантина

winlogon.bak - чистый

файлы
c:\program files\commfort_server5\commfort_server.exe.bak
c:\program files\remote office manager - viewer\romviewer.exe.bak
c:\program files\trafinsp\ticore.dll.bak

в обработке

чтобы сэкономить время, проверьте их сами на http://www.virustotal.com
ссылки на результаты проверки сюда запостите

как самочувствие?

c:\program files\commfort_server5\commfort_server.exe.bak

http://www.virustotal.com/file-scan/report.html?id=b05d5829f92dcc346e951f13f872df1450f756d922af5e18277a8b59a28e53de-1301370887#



c:\program files\remote office manager - viewer\romviewer.exe.bak

http://www.virustotal.com/file-scan/report.html?id=d24ef2323e386ea89b76a440e99d984040fc9c2aabd0662c826c2375d61e62bb-1301371493



c:\program files\trafinsp\ticore.dll.bak


http://www.virustotal.com/file-scan/report.html?id=6cebb2d0b42a1ce8412f0c3f2ab250a8e4f0cd53b48da14a50d339bc470abf49-1301371764

Вы не ответили, как самочувствие.
МВАМ деинсталлируйте.

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

у меня Восстановление системы, нету

ну да, прошу прощения, у вас же ОС Windows Server 2003..
так что с проблемой?

вы серьезно интересуетесь моим самочувствием ?? если честно то не важно, уже дастала эта ошибка изза нее не могу спокойно выйти с работы оставив сервер на Auto_Power-on___Shut-down_2.03_rus чтобы он сам отключился, потому что выскакивает окно с ошибкой и пока не нажмешь на ОК оно так и будет стоять и сервер не выключится. Кстати я паралельно решаю и эту проблему, может вы с ней поможете разобраться или они как то взаимосвязанны. тема по этой ссылке http://forum.oszone.net/thread-201841-2.html

Тип события: Ошибка
Источник события: DCOM
Категория события: Отсутствует
Код события: 10016
Дата: 16.04.2011
Время: 8:12:30
Пользователь: NT AUTHORITY\NETWORK SERVICE
Компьютер: SERVER
Описание:
Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Активация для приложения сервера COM Server с CLSID
{BA126AD1-2166-11D1-B1D0-00805FC1270E}
пользователю NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). Это разрешение можно изменить с помощью средства администрирования Component Services.

вашу проблему с этой ошибкой решают в другой теме, а нам нужны ваши свежие логи
за более чем 2 недели многое может измениться.