Заражён Explorer.exe. Замена на новый не спасает.

Добрый день!!
Начну по порядку.

Несколько дней на компе не работал Касперский. Потом снова был запущен.
При запуске Оперы (даже без вкладок) она стала выдавать ошибку, предлагать отправить отчёт, и закрываться. Грешил на Оперу, так как ИЕ работал (хотя и как-то с тормозами и подвисаниями). Снёс Оперу, почистил реестр и все что только можно. При установке новой Оперы - та же ошибка и зависание. В самом начале процесса установки.
Понял, что дело неладно. После перезагрузки компа (сеть ещё не подключилась к интернету) установка нормально запустилась, Опера установилась, открылась. При подключении сети - зависание. Проверил несколько раз - без сети всё работает, с сетью зависает. При этом ИЕ работает всегда. (чем-то вирю именно Опера непонравилась)
В процессе перезагрузок компа при его выключении стала выскакивать ошибка:

[ATTACH=CONFIG]366187[/ATTACH]

Следующее, что заметил при включении компа, и ТОЛЬКО после подключения к интернету - уведомление от Касперского:

[ATTACH=CONFIG]366188[/ATTACH]

Так и не понял, это попытка скачать что-то с сайта, или же попытка что-то туда отправить. Касперский лишь уведомляет о попытке, и запрещает её. При этом ни сканирование отдельных файлов, ни полная проверка по максимуму ничего не дали. Тоже самое и с клиентом Dr.Web.
С аналогичной проблемой уже сталкивался несколько лет назад. Скачал новый Explorer.exe, убил процесс, удалил старый файл в C:\Windows, заменил новым из архива. Включил Оперу, подключил сеть - всё работает, ничего не зависает. Довольный лёг спать (в 4 утра).
На следующий день включил комп - всё тоже самое. Проделывал процедуру несколько раз, удалял все файлы на компе с именами Explorer (в частности по адресу C:\Windows\Prefetch нашёл файлы с именами IEXPLORE.EXE-908C99F8.pf , EXPLORER.EXE-A80E4F97.pf , мне они показались странными, предположил, что "ноги растут оттуда", но после удаления они каждый раз появляются снова и снова. Ещё смутило, что у папки Prefetch в свойствах безопасности только Администратор, и сколько я не добавлял "Система" она всё равно исчезает. Но может это и не имеет значения.)

В данный момент уже просто не знаю, что можно ещё предпринять. Понимаю, что где-то сидит зараза, которая при перезагрузке постоянно подменяет/заражает мой Explorer.exe, но вот как её найти не имею понятия. Переустановка системы как решение проблемы не рассматривается.

Надеюсь на Вашу помощь!! Спасибо!!

[ATTACH]366190[/ATTACH]
[ATTACH]366191[/ATTACH]
[ATTACH]366192[/ATTACH]

Уважаемый(ая) [B]Роман Ворфоломеев[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\apppatch\ahobvn.exe','');
DeleteFile('C:\Windows\apppatch\ahobvn.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','userinit');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','System');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Обновите базы AVZ

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
Сделайте логи [url="http://virusinfo.info/showthread.php?t=115256"]RSIT[/url]

[ATTACH]366688[/ATTACH]
[ATTACH]366689[/ATTACH]
[ATTACH]366690[/ATTACH]
[ATTACH]366691[/ATTACH]
[ATTACH]366692[/ATTACH]

К сожалению, лог MBAM не сохранился, но там ничего страшного не было. Парочка старых программ, которые он заподозрил. Вроде всё работает. Огромное спасибо!!

195.98.64.65 195.98.64.66 ДНС Ваши?

Да, в свойствах подключения прописаны они. Надеюсь, так и должно быть??

[quote="Роман Ворфоломеев;898522"]Да, в свойствах подключения прописаны они. Надеюсь, так и должно быть??[/quote]
Я вижу, что они прописаны, я спрашиваю так должно быть или нет?:) У провайдера спросите...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]