подмена pid и rootkots

Здравствуйте. Не удается самостоятельно вылечить систему. Переустановка всего практически не возможна.
Внешних проявлений вирусов не наблюдаю, стоит MSE, который ругается только на те файлы, которые AVZ отправлял в карантин. Проверял систему Cure It Live CD. Он обнаружил только скрытую установку RA2 и что то еще, сейчас уже не помню. Но не смотря на это в системе все равно осталось очень много предупреждений от AVZ. Таких как подмена PID и не определенный перехватчик на ntfs/
HijackThis.exe со своим обычным именем не запускается, отработал только после переименования.
hosts редактировался мною, так как с Казахстане банятся некотрые IP адреса и без этого все службы google работают не корректно.

Заранее благодарен.[LEFT][LEFT][COLOR=#fafafa !important]

[/COLOR][/LEFT]
[IMG]http://www.google.com/uds/css/small-logo.png[/IMG][/LEFT]

Уважаемый(ая) [B]robert.akopyan[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"] правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте.
1. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:
[CODE]
begin
QuarantineFile('C:\Users\Bobby\AppData\Local\Temp\NBGH.exe','');
QuarantineFile('C:\Users\Bobby\AppData\Local\Temp\CVF.exe','');
BC_ImportQuarantineList;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2. Затем выполните ещё один скрипт в AVZ:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
3. Пришлите quarantine.zip из папки AVZ согласно правилам (через красную ссылку "[B][COLOR="Red"][U]Прислать запрошенный карантин[/U][/COLOR][/B]" наверху темы).

Скрипты выполнил, карантин отправил, только не понял ушел ли он. :-)

[SIZE=1][COLOR=#666686][B][I]Добавлено через 11 часов 24 минуты[/I][/B][/COLOR][/SIZE]

По поводу запрошенных файлов.
C:\Users\Bobby\AppData\Local\Temp\NBGH.exe это RootKit detection utility имеет подпись Microsoft Corporation
C:\Users\Bobby\AppData\Local\Temp\CVF.exe это RootKit detection utility имеет подпись Microsoft Corporation
Врят ли файлы имеющие цифровую подпись Микрософт будут вирусами.

Что бы быть точным это RootkitRevealer который маскируется серисом и меняет свое имя при запуске.

Интересует экспертное заключение. Есть по приведенным логам подозрение на наличии вируса или это допустимое состояние?

Файлы чистые

Да, как я уже сказал это утилита из sysinternals.
Есть еще 1 симптом. Пользуюсь Chrom. Поставил MBAM, который сейчас делает полную проверку.
Так вот он стал постоянно блокировать ip адреса из диапазона 195.68.160.* порты 49000+ к которым пытается подключиться программа Chrom. Это происходит даже в режиме Инкогнито, когда ни какие аддонсы не грузятся. По видимому сидит какой то keyloger.

Да, как я уже сказал это утилита из sysinternals.
Есть еще 1 симптом. Пользуюсь Chrom. Поставил MBAM, который сейчас делает полную проверку.
Так вот он стал постоянно блокировать ip адреса из диапазона 195.68.160.* порты 49000+ к которым пытается подключиться программа Chrom. Это происходит даже в режиме Инкогнито, когда ни какие аддонсы не грузятся. По видимому сидит какой то keyloger. Все интереснее, оказывается это диапазон на loveplanet и подобные сайты. Не понял только какого лешего страницы с rbc.ru туда ломятся.

[quote="robert.akopyan;853092"]Так вот он стал постоянно блокировать ip адреса из диапазона 195.68.160.*[/quote]На такое поведение МВАМ не обращайте внимания

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]