Сабж. Несколько зараженных файлов нашел антивирус.
Не смог выполнить этот пункт инструкции В меню AVZM выберите "Установить драйвер расширенного мониторинга процессов". Пункт меню был недоступен.

Здравствуйте,

Сейчас проверю логи.

1. Скачайте ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe) на рабочий стол.
Запустите ATF Cleaner, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли;
- если вы используете Opera, нажмите Opera - Select All - Empty Selected;
- нажмите No, если вы хотите оставить ваши сохраненные пароли.


Прокси сервер используете? Ваша настройка? Если нет, эту строку тоже надо пофиксить (как фиксить, смотри пункт №3)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=

Эти сайты вам знакомы

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,


2. Отключите:
Антивирус/Файерволл

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('\Device\HarddiskVolume1\Documents and Settings\Ultim\Local Settings\Temp\344977B0-7C157508-C82BDC88-6771B850\2800f_xp.exe');
QuarantineFile('c:\windows\system32\mpcwhx.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\zvmzcce.exe','');
QuarantineFile('C:\WINDOWS\system32\ntisyl.exe','');
QuarantineFile('C:\WINDOWS\system32\da991de0.exe','');
QuarantineFile('C:\DOCUME~1\Ultim\LOCALS~1\Temp\3fMP0hZ4.sys','');
QuarantineFile('\Device\HarddiskVolume1\Documents and Settings\Ultim\Local Settings\Temp\344977B0-7C157508-C82BDC88-6771B850\2800f_xp.exe','');
DeleteFile('\Device\HarddiskVolume1\Documents and Settings\Ultim\Local Settings\Temp\344977B0-7C157508-C82BDC88-6771B850\2800f_xp.exe');
DeleteFile('C:\WINDOWS\system32\da991de0.exe');
DeleteFile('C:\WINDOWS\system32\ntisyl.exe');
DeleteFile('C:\DOCUME~1\Ultim\LOCALS~1\Temp\3fMP0hZ4.sys');
DeleteFile('\\?\globalroot\systemroot\system32\zvmzcce.exe');
DeleteFile('c:\windows\system32\mpcwhx.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(20);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://support.kaspersky.ru/virlab/helpdesk.html) формы
В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Пофиксить в HJT (http://forum.oszone.net/post-1430293-2.html)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,\\?\globalroot\systemroot\system32\zvmzcce.exe,c:\windows\ system32\mpcwhx.exe,C:\WINDOWS\system32\da991de0.exe,C:\WINDOWS\system32\ntisyl.exe,OWSsystem32ntisy l.exe,


4. Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

5. Загрузите SecurityCheck by screen317 отсюда (http://screen317.spywareinfoforum.org/SecurityCheck.exe) или отсюда (http://screen317.changelog.fr/SecurityCheck.exe)
Сохраните на Рабочий стол.
Запустите от имени администратора
Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования и вы увидите лог в блокноте с именем checkup.txt;
Прикрепите его тоже в ваше следующее сообщение.

6. Повторите логи AVZ и RSIT

Здравствуйте.
Спасибо, доступ к сайтам восстановился.
Ответа от лаб. касперского еще нет, если необходимо, то позже отпишусь.

Здравствуйте,

Исправьте эту строку в HiJackThis:

R3 - URLSearchHook: (no name) - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - (no file)

Файл ekran.sys найдите сами или с помощью AVZ: Запустите AVZ => Сервис => Поиск файлов на диске. В разделе "Область поиска" выберите системный диск, в строке "Имя файла(или маска)" введите имя файла, который необходимо найти, в данном случае это ekran.sys и нажмите "Пуск". Сообщите о результате.

Относительно карантина, который вы отправили - да, пожалуйста сообщите результат, когда придет.

Обновите Java до последней версии (http://www.java.com/ru/download/help/java_update.xml).
Обновите Adobe Reader (http://get.adobe.com/reader/) до последней версии.

В HiJackThis исправил.
Файла ekran.sys нет.
ПО обновил.

И поменяйте все ваши пароли . У вас был вирус ворующий пароли.

Что с проблемами?

>> Таймаут, по истечению которого принимается решение о том, что процесс не отвечает, находится за пределами допустимых значений

Откройте AVZ -> Файл -> Мастер поиска и устранения проблем -> Системные проблемы -> Все проблемы -> Поиск - затем отметьте таймауты и "Исправить".

- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows.
- выполняйте ежедневное сканирование системы.
- не открывайте вложения в которых вы сомневаетесь.
- не загружайте и не запускайте сомнительные программы.
- скачайте и установите SpywareBlaster (http://www.javacoolsoftware.com/spywareblaster.html). Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt! (http://www.freedrweb.com/cureit/)
- установите антивирус!!!
- поменяйте все важные пароли!!!

Проблем не наблюдается, спасибо =)
Стараюсь следовать правилам безопасности, второй пользователь компьютера не всегда позволяет =)

Здравствуйте,

Это хорошо, что проблем не наблюдается :)

Еще создайте новую точку восстановления и очистите предыдущие, следуя этой (http://safezone.cc/forum/showthread.php?t=2065) инструкции.