При нажатие по свободному участку раб. стола ПКМ повисает комп. ,при этом в диспетчере задач появляется процесс drwtsn32,при закрытие комп. отвисает

а что в Drwtsn32.log написано?
И антивирус какой-нибудь стоит, проверялись?

лог на 2.5 мб ,я не очень разбираюсь что там
проверял cureit,находил Win32.HLLP.Jeefo.36352 Win32.HLLP.Neshta
Вроде как избавился

лог на 2.5 мб ,я не очень разбираюсь что там
Выложите в архиве.

log (http://forum.oszone.net/attachment.php?attachmentid=62925&stc=1&d=1303112568)

проверял cureit,находил Win32.HLLP.Jeefo.36352 Win32.HLLP.Neshta
Вроде как избавился
Не совсем, судя по наличию C:\WINDOWS.1\svchost.exe
Пожалуйста, выполните эти инструкции (http://forum.oszone.net/thread-98169.html) (тема перенесена в "Лечение систем от вредоносных программ").

сделал

anivan, привет
c:\program files\maxlim\Будильник\alarm clock.exe это сами устанавливали?

привет,да,сам

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows.1\svchost.exe');
StopService('powermanager');
QuarantineFile('c:\windows.1\svchost.exe','');
DeleteFile('c:\windows.1\svchost.exe');
DeleteService('powermanager');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.




После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

Сделайте повторные логи AVZ с обновленными базами!

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

______________________________________________________

касперский не отвечает,а на счет avz это самые последние обновления

а вы скрипт выполняли?

да.

что-то все те же на манеже((

удалите в МВАМ

Заражённые ключи в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need for Speed Most Wanted_is1 (Trojan.Agent) -> No action taken.

Заражённые папки:
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken.

Заражённые файлы:
c:\WINDOWS.1\svchost.exe (Trojan.Agent) -> No action taken.
c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken.

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

лог МВАМ повторяем

Проверьте сами на http://www.virustotal.com файл


c:\program files\Java\jre6\bin\javaw.exe
c:\WINDOWS.0\system32\ctfmon.exe


ссылку на результат запостите здесь

Отключите:
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows.1\svchost.exe','');
DeleteFile('c:\windows.1\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS.1\svchost.exe');
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.


В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

если наблюдаются проблемы при работе с сетью и Интернет, то скачайте и запустите WinsockXPFix (http://kts-samara.ru/WinsockxpFix.zip). А дальше следуйте рекомендациям по иструкции (http://kts-samara.ru/st6.html)

Сделайте повторные логи AVZ

Javaw.exe (http://www.virustotal.com/file-scan/report.html?id=b1b507aa32048abe6accc0b64afe432dd9e082e9b30b83bede977404eaeb9493-1303219060)
Ctfmon.exe (http://www.virustotal.com/file-scan/report.html?id=5a7c0d11185e60c92e748786973c241b933db45fd15d5a1f3f64fe25822a6d3b-1303219114)

Остальное позже

не знаю,как,но svchost как то восстанавливается после всех скриптов и удалений
касперский до сих пор молчит

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

...

c:\windows.1\regedit.exe - проверьте на http://www.virustotal.com
ссылку на результат сюда

вижу программульку, относящиюся к группе опасных PSEXESVC.EXE. Важно понять сами ею пользуетесь или установлена без вашего участия.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\windows.1\system32\drivers\smtvumuw.sys
c:\windows.1\system32\drivers\uawq.sys
Driver::
inue
yovq
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

virustotal (http://www.virustotal.com/file-scan/report.html?id=8d60a5e43f256bcd9acf24aa4eb4c921427e229e59aae3204793862539b0b29d-1304228313)
PSEXESVC.EXE я не знаю к чему она относиться.