Помогите справиться с остатками вируса. Блокированы антивирусные сайты.

[semen20100922]

Поймал вирус через IE - в процессе загрузки страницы браузер завис, в трэе появилась иконка явы - понял, что что-то неладно, сбил браузер таскменеджером. После этого перестал работать Outlook Express (загружается и сразу падает), браузеры стали валится тоже (IE, FF). Нашел файл rasadhlp.dll одинакового размера в директорях IE, Outlook-а и FF-а. Дата файла соответсвует моменту заражения. Похожий файл, с той же датой, но с другим именем и размером нашел и в директории web-money keeper-а. Убил все эти файлы, почистился AVZ-ой, AVP-ой, CureIt-ом. Но подзрения на неполноту очистки есть. И не грузятся некоторые антивирусные сайты - например forum.kaspersky.com .

Пожалуйста помогите.

[Bratez]

Пофиксите в HijackThis:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C7F8D2B-B2C6-4506-999A-355964004235}: NameServer = 188.92.73.123,188.92.73.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{61D4E282-7639-4BAF-8DCE-E2F6F7C56025}: NameServer = 188.92.73.123,188.92.73.124

Выполните скрипт в AVZ:

Код:

begin
ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.
Сообщите, что изменится.

[semen20100922]

Спасибо БратеZ, кажется все хорошо. Наблюдаю, приглядываюсь, принюхиваюсь... Сделать ли еще раз логи?

[Bratez]

Сделать ли еще раз логи?

Если не трудно, то не помешает

[semen20100922]

Конечно не трудно, даже хочется. Очень-очень. Кроме трех обычных файлов прикладываю еще протокол AVZ. А нем сильно смущают строчки:
-----------------------------
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=380, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 380)
Маскировка процесса с PID=1624, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1624)
Маскировка процесса с PID=2720, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2720)
Маскировка процесса с PID=2824, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2824)
Маскировка процесса с PID=2856, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2856)
Маскировка процесса с PID=2864, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2864)
Маскировка процесса с PID=3000, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3000)
Маскировка процесса с PID=3016, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3016)
Маскировка процесса с PID=3032, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3032)
Маскировка процесса с PID=3048, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3048)
Маскировка процесса с PID=3064, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3064)
Маскировка процесса с PID=3104, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3104)
Маскировка процесса с PID=3164, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3164)
Маскировка процесса с PID=3176, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3176)
Маскировка процесса с PID=3192, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3192)
Маскировка процесса с PID=3264, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3264)
Маскировка процесса с PID=3540, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3540)
Маскировка процесса с PID=3612, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3612)
Маскировка процесса с PID=3628, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3628)
Маскировка процесса с PID=3636, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3636)
Маскировка процесса с PID=3736, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3736)
Маскировка процесса с PID=3924, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 3924)
Маскировка процесса с PID=1884, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1884)
Маскировка процесса с PID=2768, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 2768)
Маскировка процесса с PID=1112, имя = ""
>> обнаружена подмена PID (текущий PID=0, реальный = 1112)
>> Маскировка драйвера: Base=EDF69000, размер=131072, имя = "\SystemRoot\system32\DRIVERS\nvcap.sys"
Поиск маскировки процессов и драйверов завершен
1.5 Проверка обработчиков IRP
Драйвер успешно загружен
\FileSystem\ntfs[IRP_MJ_CREATE] = 84EF4150 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 85209378 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 85283AB0 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 8306A9F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 83BDB1A0 -> перехватчик не определен
-----------------------------
как-то с этим разобраться бы?

[Bratez]

сильно смущают строчки:

Тут нет ничего плохого. "Маскировки" для серверной ОС обычное дело.
Перехваты \FileSystem\ntfs есть у всех.

[semen20100922]

Чтож, вроде всё тихо, ничего плохо не наблюдается, думаю можно закрывать тему.

Большое спасибо